医療分野における急速な情報化・ネットワーク化に伴い、医療安全の確保に向けた医療機器のサイバーセキュリティ対応が重要な課題となっており、日本では新たにソフトウェア部品表(SBOM)の取扱い等の指針を示した“医療機器のサイバーセキュリティ導入に関する手引書(第2版)”が公開されました。加えて、薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)に基づき、医療機器の製造・販売時の許認可における新たな基本要件基準が適用されています。
KPMGは、医療機器の製造・販売におけるサイバーセキュリティ対応に向けた企業の管理体制の整備、各種施策の立案および推進を支援します。
医療機器ごとのTPLCにわたるセキュリティ対応およびリスクマネジメントプロセスの確立
基本要件基準の改正により、他の機器およびネットワーク等と接続して使用する医療機器(SaMD*1含む)を対象に、機器の構想から販売(EOL/EOS*2に至る)までの製品ライフサイクル全体(TPLC)にてサイバーセキュリティ対応およびリスクマネジメントの実践が必要となっています。また、許認可申請時には、対応結果を示す文書の提示が求められています。
同様に、すでに製造・販売済みの医療機器に対しても、適宜サイバーセキュリティの脅威に対する対策を継続して講じるとともに、当該文書の提示ができるよう準備をしなければなりません。サイバーセキュリティ対応が不十分と判断される場合には、医療機器の製造・販売そのものに大きな影響を及ぼす可能性があります。
*1 SaMD (Software as a Medical Device):プログラム医療機器
*2 EOL (End of Life):有効期間を超えた製品の販売を終了する時点を指す/EOS (End of Support): 製造業者が全てのサポート活動を中止する時点を指す
製品セキュリティの確保に向けた“全体”および“個別”最適化対応の推進
薬機法に基づく基本要件基準の改正により、医療機器製造販売業者は、従来のビジネスサイクルで対象の医療機器に対するサイバーセキュリティ確保の検討および対応が求められるようになりました。製造販売する医療機器の該非判定、対象医療機器ごとの脆弱性の特定、社内外の連携体制の確立等、多岐にわたる検討と対応が必要となるため、多大なリソースを投入しなければなりません。
KPMGは、効率的かつ網羅的に対応するため、“全体最適化”および“個別最適化”の2つの観点で対応を推進することが効果的かつ重要と考えます。“企業としてのプロセス・仕組み・体制の確立に向けた対応”と“個別製品対応” の2段階を経て、企業の医療機器に対する製品セキュリティの確保に向けた包括的な支援を提供します。
