tuv-jp-blog-banner

日本国内でも対応が必要にー医療機器のサイバーセキュリティ対策のポイント

Posted by TUV Rheinland Japan on 2020/06/09 16:23:15
TUV Rheinland Japan

問題点の洗い出しから脆弱性の修正

世界各国で、サイバーセキュリティ対策の強化が求められています。医療機器においても、サイバーセキュリティに関する規制やガイドラインの導入が進んでいます。

代表的なのは米国食品医薬品局(FDA)であり、以下のような市販前、市販後のサイバーセキュリティ対応に関するガイダンス文章を発行し、積極的にサイバーセキュリティ対応を促してきています。
  • Content of Premarket Submissions for Management of Cybersecurity in Medical Devices
     医療機器のサイバーセキュリティ管理のための市販前申請内容
  • Post-market Management of Cybersecurity in Medical Devices
     医療機器のサイバーセキュリティの市販後管理
  • Cybersecurity for Networked Medical Devices Containing Off the-Shelf (OTS) Software
     ネットワークに接続されるOTSソフトウェアを組み込んだ医療機器のサイバーセキュリティ

製品のクラスにもよりますが、FDAの市販前届出(510(k))申請では、製造業者としてサイバーセキュリティ上のリスクの洗い出しと、それらのリスク分析、管理ができているかを確認します。
ヨーロッパではMDRおよびIVDRの付属書I 「基本的な安全性と性能の要求事項」に関するサイバーセキュリティの要求事項が発行されています。(2019年12月文書)
 (EUROPEAN COMMISSION HPより)

さらに、2020年5月には、各国のサイバーセキュリティ対策を踏まえて国際的な調和を目的とし、国際医療機器規制当局フォーラム(IMDRF)により、「医療機器サイバーセキュリティの原則および実践に関するガイダンス(Principles and Practices for Medical Device Cybersecurity)」が公表されました。

そして注目すべきは、厚生労働省医薬・生活衛生局医療機器審査管理課長、および厚生労働省医薬・生活衛生局医薬安全対策課長の連名で発出された文章に以下のような表現があることです。

   国際的な規制調和の推進の観点や国境の枠組みを超えて医療機器のサイバーセキュリテ ィに係る安全性を向上させる観点から、

   我が国においても、今後3年程度を目途に、医療 機器製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っているところです。

        厚生労働省HPより抜粋 https://www.mhlw.go.jp/hourei/doc/tsuchi/T200521I0040.pdf

日本国内で販売される医療機器についても、今後はサイバーセキュリティ対策は避けて通ることができないと思われます。

サイバーセキュリティ対策をするにあたり、まずやるべきことは自社製品にどのような問題があるのか、問題点の棚卸をすることから始めるべきでしょう。そのためには、サイバーセキュリティテストをする必要がありますが、医療機器をめぐる法規制やガイダンスなどを十分に理解してテストをすることが求められます。

テュフ ラインランドでは、医療機器チームと、サイバーセキュリティチームが共同で医療機器の特性に沿った形で、テストを実施できる体制を整え、これまでに多くのお客様にサービスを提供しています。

詳細については医療機器のサイバーセキュリティサービスを参照ください

TUV-Rheinland-Medical-Cybersecurity-Flyer-JP-sample

3年後というと、まだ時間があるようにも思えますが、テストの実施、内容の理解、見つかった脆弱性の修正にそれぞれ数か月かかるため、実際には残された時間はあまりありません。テスト結果を自社でリスクアセスメントする必要性もありますし(ISO14971:2019に従ってやる方法が一般的です)、また、見つかった脆弱性を修正して、最終的な申請書類に落とし込んでいくにはそれなりの時間がかかるでしょう。

サイバーセキュリティの確保と対応を円滑に行えるよう、信頼できる情報を入手し、理解を深めることが必要です。少しでも不安のある方は、医療機器のサイバーセキュリティ経験豊富なコンサルタントによる初回無料相談をご活用いたけます。直接お伺いしてのご説明や、電話会議システムでの相談も対応していますので、ぜひ疑問点の解消にご活用ください。

お客様事例動画:株式会社トーメーコーポレーション

Tomey

お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com

Topics: medical, 医療機器, tuv.communication, サイバーセキュリティ