医療機器に関するサイバーリスク管理支援

医療機器の提供者(製造者)、使用者(医療機関)双方の観点より、医療機器に係るサイバーリスク管理態勢の高度化支援を行います。

医療機器を巡るサイバーリスク

内閣サイバーセキュリティセンター(NISC)が情報セキュリティ政策会議にてサイバーリスクから防衛すべき重要インフラに医療機関を指定し、重要システム例の一つに医療情報システムとともに、医療機器を挙げていることを受け、厚生労働省は2015年4月に「医療機器におけるサイバーセキュリティの確保について」という通知を発出しているとおり、日本でも医療機器についてのサイバーリスクマネジメントの重要性が高まっています。

米国では2013年に食品医薬品局(Food and Drug Administration:FDA)にて医療機器のサイバーリスク管理に関するガイダンス案の検討、2015年に医療機器の脆弱性に関する脅威通知が行われ、2016年12月には医療機器のサイバーセキュリティをモニタリングするガイドラインの最終草案が発行されています。これらの動向は、医療機器におけるサイバーリスクマネジメントのグローバルな重要性を物語っています。

このような状況下において、日本の医療機関にとっても、医療業務の継続性を維持するための一環として、サイバーリスク管理対策は喫緊の課題となっているといえます。

また、医療機器を提供する製造業者にとっても、サイバーセキュリティについて既存のリスクマネジメントの枠組みのなかで確実に対応を図り、サイバーリスク強度の高い機器を製造することの社会的責任は従来以上に増している状況です。

【図1】医療機器に関するサイバーリスク概要

製造業者に求められる取り組み

日本において医療機器はISO14971(JIS T 14971)に準拠したリスクマネジメントサイクルのなかでサイバーリスクに係る評価・管理も行われている状況です。

しかしながら、サイバーリスクは技術環境の変化とともに常に変容していきます。現行の枠組みのなかでリスクの低減を図れていたとしても、外部技術の変化に伴い当初想定していなかったリスクシナリオの発生を回避することは困難です。このような想定外のリスクシナリオの発生による影響をあらかじめ可能なかぎり織り込み、機器の品質水準を維持できるようにするための対策を検討しておくことが今後のリスクマネジメントには求められます。

FDAのサイバーリスク管理に関するガイドラインが示すとおり、日本においても機器の販売前/後において求められる製造業者のリスクマネジメント水準はより高くなることが想定されます。

【図2】FDAガイドラインの要件概要

薬事法の改正(医薬品医療機器等法)に伴い、日本でも医療機器の一部として、診断・治療・予防に資する医療機器プログラムが含まれました。また、厚生労働省「医療情報システムの安全管理に関するガイドライン(4.4版)」では、医薬品医療機器等法では対象外であるプログラムについても、IoT(Internet of Things)という定義のもとでセキュリティ管理が求められています。

医療機器プログラムの多くは単体のみでなく、さまざまなネットワークとの接続を通して機能します。このような機器がどのようなネットワーク環境に置かれ、どのような局面で利用されるかという観点より、機器のセキュリティが損なわれるリスクを幅広く事前に検討し、かつ、リスクの変化に応じた対応策を講じておくためには、サイバーセキュリティの専門的な知見が求められます。

サイバーリスクの顕在化に伴う医療機器の不具合は製造物責任法の範疇に含まれる事象です。現時点で、本法による医療機器に係る法的係争件数は非常にかぎられていますが、今後のサイバーリスクの動向によって、医療機器に係る法的論点がどのように変化するかは現時点では不透明です。

また、法的な過失が仮にない場合においても、自社の機器が外部攻撃に悪用される脆弱性を有していたため、サイバーリスクが顕在化したことが判明した場合、企業にとっては大きな風評被害を受けることになります。

このような意味で、今や医療機器のリスクマネジメントとは単なる製造物に係る問題に限定されない、企業全体に係るリスクマネジメントの一部となっています。

医療機関に求められる取り組み

製造・販売業者より提供された医療機器を利用する医療機関においては、異なる観点からのサイバーリスク管理が求められます。製造業者によるサイバーリスク管理品質を担保した医療機器を確実に運用するためには、対象機器を取り巻く医療機関のセキュリティ管理水準が一定以上に維持されていることが必要です。

医療機器の一部には外部ネットワークと接続したうえで、さらに院内の関連機器やシステムと連携している仕組みを採用しているものが多数あります。こうした仕組みは可用性を高め、医療業務の実効性を高める一方、外部からの攻撃リスクを高めるものでもあります。

【図3】サイバー攻撃リスクイメージ図

こうした外部ネットワークとの接続点について適切なセキュリティ管理対策が講じられない場合、対象機器のみでなく、医療機関のネットワーク全体へ攻撃者の侵入を許し、想定外の事態を招くリスクが潜在することになります。

海外の医療機関では、サイバー攻撃被害により医療情報システムや医療機器が利用不可となる事例が多数報告されており、日本においてもその兆候は確実に見受けられています。

販売後の医療機器の管理責任は、その利用環境も含め、一般的には医療機関が担うことになります。「攻撃を受けることはありえない」という考えではなく、自院の機器が攻撃を受けるかもしれないというリスク認識を持ち、あらかじめ合理的な対策を講じておくことは、公共性の高いサービスを提供する医療機関の責務の一つでもあります。

PwCとしての支援

PwCでは、医療機器を製造する企業(pre-market)、および医療機器を利用する医療機関(post-market)の実態に精通したメンバーが、医療機器に係る専門的なサイバーリスクマネジメントの知見を活用し、各社/各医療機関固有の環境を考慮した観点より、サイバーリスクという<不定型な生物>を管理するべく、費用対効果が高く、合理的な管理責任・説明責任水準を確保するための取り組みを支援します。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

宮村 和谷

パートナー, PwCあらた有限責任監査法人

Email

江原 悠介

シニアマネージャー, PwCあらた有限責任監査法人

Email