お知らせ
【識者の眼】「医療機関は医療機器サイバーの義務化にどう初期反応すべきか?」江原悠介
2023年4月からは、医療の継続性を確保する安全管理体制の一部として、医療機関にはサイバーセキュリティ管理態勢の構築が法的に求められることになった。この動向は昨今の医療情報システム(電子カルテシステムや医事会計システム等)を標的としたサイバー攻撃の多発に起因するが、サイバー攻撃の標的は何も医療情報システムには限らない。医療機器も、様々な脆弱性を抱えたまま運用されている実態があり、例えば埋め込み型の心臓ペースメーカに外部から不正にアクセスし、設定を変更する攻撃が成立した事例も存在する。
こうした医療情報システム以外も含めたサイバーリスクの高まりを受けて、国内では23年3月に「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準」(以下、基本要件基準)にサイバーセキュリティ対応の要件が新設された。さらに、それを受けて厚生労働省・関係団体が、基本要件基準への対応に向けた手引書を医療機器メーカ・医療機関それぞれに発出している。
ただし、基本要件基準で求められる各種要件は実は何ら目新しいものではない。これは、国内の医療情報システムに係るサイバーセキュリティの中で強調されているアプローチ〜「リスクマネジメント」と「リスクコミュニケーション」〜により構成されている。具体的には、メーカは医療機器のサイバーセキュリティ対応を適切に図ること(リスクマネジメント)、そして医療機関はメーカと協議・決定したセキュリティ環境において該当機器をその指示のもとで利用するという、対等な立場に基づく双方向的な合意形成(リスクコミュニケーション)に係る一連の取組を指している。
ただこうした取組が国内の医療セキュリティでは遅れている(というより、互いに慣れていない)という事実は既に以前のコラムでも触れている通りである。
そのため、医療機関としては、付き合いのあるメーカに「基本要件基準のサイバー対応計画はどうなっているか」「自分たちは何をすべきか」を試しに聞いてみてほしい。この問い自体の回答は現時点ではメーカとしても難しいだろう。しかし、「難しい」という旨を隠さず正直に回答できるメーカはその誠実性において、今後高度化するサイバーリスクを見据えた場合、信用できるパートナーの有力候補として考えてよいと言える。
江原悠介(一般社団法人医療ISAC理事)[基本要件基準]
