医療機器の薬事に関する法規制情報提供サービス

医療機器のサイバーセキュリティ対応とは?日本の規制要求事項についても併せて解説

サイバーセキュリティ, 薬機法関連

無線、インターネット及びネットワーク接続機器の使用の増加に伴い、医療機器の機能及び安全性を確保するために有効なサイバーセキュリティの重要性が増してきています。

医療機器のサイバーセキュリティの脆弱性から機器がクラッキングされる恐れが発覚し、機器の使用停止・回収/改修に至るという事例も近年発生しています。

そういった状況を踏まえ日米欧等各国の当局やIMDRFも、サイバーセキュリティに関するガイダンス等を発出し、医療機器の製造業者にサイバーセキュリティ対応を求めるようになってきました。

本記事では、以下の事項をまとめてご紹介します。

  • サイバーセキュリティとは何か?
  • サイバーセキュリティに対するリスクマネジメント考慮事項
  • 日本におけるサイバーセキュリティに関する規制要件の流れおよび通知について

サイバーセキュリティとは?

そもそも、サイバーセキュリティとは何でしょうか?

日本におけるサイバーセキュリティについては、「サイバーセキュリティ基本法」の第2条に以下のように定義されています。

サイバーセキュリティ基本法

第2条(定義) この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

サイバーセキュリティ基本法(平成26年法律第104号)

すなわち、サイバーセキュリティとは以下2点から成り立ちます:

  1. 電磁的方式により記録・発信・伝送・受信される情報について、以下の措置を講じること
    • 漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置
    • 情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置
  2. その状態を適切に維持管理すること

簡単に言うと、

・情報が漏れたり、なくなったり、壊れたりしないようにするための必要な手段を講じて、
・情報システムや通信ネットワークが安全で信頼できるものであるようにするための必要な手段を講じて、
・情報が漏れたりしないし、システムも安全で信頼できるよ!という状態をずっと維持する

ということですね!

サイバーリスクに対するリスクマネジメント考慮事項

サイバーリスクとは?

サイバーリスクとは、「サイバーセキュリティ」で担保されている安全性や信頼性が損なわれ、危害(harm)が生じるリスクと考えられます。

サイバーリスクに対するリスクマネジメント

医療機器の製造販売業者は、薬機法により有効性及び安全性を確保した医療機器を設計・製造して供給することが求められています。

加えて、GVP省令(「医薬品、医薬部外品、化粧品、医療機器及び再生医療等製品の製造販売後安全管理の基準に関する省令」(平成16 年厚生労働省令第135号))に基づき、販売後の使用における医療機器の有効性、安全性等に関する情報収集・分析、必要に応じた対策等の適切な対応を講じることが求められています。

このため、製造販売業者は医療機器への悪意を持ったサイバー攻撃に対しても、使用環境を含めた医療機器の特徴に応じて、サイバーセキュリティ対応にも取り組んでいく必要があります。

サイバーセキュリティ対応を考える上ではまず、情報セキュリティの3要素を理解する必要があります。

情報セキュリティの3要素

情報セキュリティの3要素とは以下を言います。

  • 情報の機密性(Confidentiality):正当な権限をもつ限られた者のみが、許可された範囲内で情報にアクセスできるよう、保護・管理されていること
  • 情報の完全性(Integrity):データの正当性、正確性及び一貫性が維持され、不適切な変更が行われていないことを意味し、意図された使用方法の下で医療機器の機能や性能が確保され、患者情報や診断結果等の正確性が保たれていること
  • 情報の可用性(Availability):必要なときにシステムが正確なサービスを提供できる状態が維持されていること

製造販売業者は、サイバーリスクに対するリスクマネジメントを考える際には、上記の情報セキュリティの3要素を満たすことを考慮する必要があります。

すなわち、従来行われてきた、一次故障や誤操作等をリスク要因として捉えるリスクマネジメントに加えて、悪意を持った攻撃者の存在等もリスク要因として捉えて検討することが必要になります。

医療機器の基本要件基準

製造販売業者は、医療機器の基本要件基準(平成17年厚生労働省告示第122号)に基づき、サイバーリスクについても既知又は予見し得る危害としてこれを識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価し、合理的に実行可能な限り除去することが求められています。

医療機器の基本要件基準(平成 17 年厚生労働省告示第122号)

第2条 リスクマネジメント

医療機器の設計及び製造に係る製造販売業者又は製造業者(以下「製造販売業者等」という。)は、最新の技術に立脚して医療機器の安全性を確保しなければならない。

危険性の低減が要求される場合、製造販売業者等は各危害についての残存する危険性が許容される範囲内にあると判断されるように危険性を管理しなければならない。

この場合において、製造販売業者等は次の各号に掲げる事項を当該各号の順序に従い、危険性の管理に適用しなければならない。

一 既知又は予見し得る危害を識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価すること。

二 前号により評価された危険性を本質的な安全設計及び製造を通じて、合理的に実行可能な限り除去すること。

三 前号に基づく危険性の除去

を行った後に残存する危険性を適切な防護手段(警報装置を含む。)により、合理的に実行可能な限り低減すること。

四 第二号に基づく危険性の除去を行った後に残存する危険性を示すこと。

医療機器の基本要件基準(平成 17 年厚生労働省告示第122号)

医療機器の基本要件基準については以下の記事も併せてご参照ください。

Office Village
 
2021.08.23
【2021年最新情報】医療機器の基本要件基準の改正および基本要件適合性チェックリ...
https://officevillage.co.jp/kihonyoukenkijun
2021年8月1日より、改正後の医療機器の基本要件基準が適用されます。この記事では新基本要件基準について解説しています。

日本における医療機器のサイバーセキュリティ関連規制

日本におけるサイバーセキュリティ関連規制の流れ

日本における医療機器のサイバーセキュリティ規制に関する流れをご紹介します。

2023年をめどに、IMDRFのサイバーセキュリティに関するガイダンスを導入する旨を当局が公表していることに留意が必要です。

IMDRFガイダンスを読み込み、対応方針を今から検討していくことが肝要になります。

日本における医療機器のサイバーセキュリティに関連した通知等

2021年8月現在、医療機器のサイバーセキュリティに関して以下の3つの通知が発出されています。

お問い合せ