医療機器におけるサイバーセキュリティ対策の動向

サイバーセキュリティ対応要件の評価運用が2023年から開始されることが予定されており、医療機器へのサイバーセキュリティ対応は新たなステージに差し掛かっています。

本稿では、国際医療機器規制当局フォーラム（以下、IMDRF）から公表されたIMDRFガイダンスをベースとした「医療機器のサイバーセキュリティ導入に関する手引書」の要点と、医療機器製販業者に求められる対応について解説します。

• 医療機器を取り巻く環境変化
• 医療機器におけるサイバーセキュリティ対策

医療分野における情報化・ネットワーク化が急速に進んでいます。それに伴い、医療の安全確保に向けた、医療機器のサイバーセキュリティ対策が重要な課題となっています。そのような背景を踏まえ、厚生労働省は、医療機器へのサイバーセキュリティ対策を求めるIMDRFガイダンスをベースとした「医療機器のサイバーセキュリティ導入に関する手引書」を、2021年12月に公開しました。
また、薬機法（医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律）の改正、および医療機器の製造・販売における許認可に関するサイバーセキュリティ要件の評価運用が、2023年から開始されることが予定されています。

薬機法の改正により、無線または有線にてメディア媒体を含む他の機器、プログラム医療機器（SaMD）を含むネットワーク等と接続可能な医療機器、およびその附属品等を対象に、機器の構想から販売（EOL・EOSに至る）までの TPLC（トータル製品ライフサイクル）にて、サイバーセキュリティおよびリスクマネジメントへの対応が必要となります。

これは製造・販売済みの医療機器に対しても同様で、継続的なサイバーセキュリティ対策とともに、対策状況に関する顧客説明の用意も求められます。このような対策が難しい場合には、医療機器の製造・販売に対する影響が懸念されます。

2023年に予定されるサイバーセキュリティ要件の評価運用開始を見据え、医療機器製販業者は、製造販売する医療機器のセキュリティ対策の該非の判定をはじめ、対象医療機器ごとの脆弱性の特定や社内外の連携態勢の確立等、多岐にわたる対応に備える必要があります。

KPMGコンサルティング
アソシエイトパートナー　一原 盛悟
シニアマネジャー　西山 真以
マネジャー　杉原 辰典