医療機器のサプライチェーンにおけるサイバーセキュリティとは

本連載は、日経産業新聞（2023年8月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

日本の医療業界では、高齢者人口がピークを迎える一方、労働人口の激減による医療逼迫が懸念される2040年を見据え、高齢者の医療費の増加と現役世代の減少に対応すべくデジタル技術の活用を進めています。この動きは、新型コロナウイルス感染症（COVID-19）を経て一段と加速しています。

デジタル技術の活用は、医療サービスの利便性や治療の質の向上など多くのメリットをもたらした半面、医療機器のネットワーク接続や医療データのデジタル化に伴い、サイバーセキュリティリスクも増大させました。
医療機器は患者の身体に関する情報により生命や健康を支えるもので、医療機器へのサイバー攻撃は、患者の生命・健康を脅かし、患者のプライバシー保護も危うくしかねません。自治体などの地域の医療情報ネットワークや電子カルテなど医療情報システムとも接続しており、他の医療機関、薬局、関係機関などへと被害が拡大する恐れもあります。

これらを背景に、2020年に国際医療機器規制当局フォーラム（IMDRF）が、医療機器に関するセキュリティガイドラインを公表しました。国際的にも機運が高まっており、欧米は対応を進めています。

日本でも、このガイドラインに基づき、医療機器の製品ライフサイクルにおけるサイバーセキュリティ対策の実施を求めて、2022年に医薬品医療機器等法（以下、薬機法）を改正しました。また、2023年5月に「医療情報システムの安全管理に関するガイドライン」を改定することで、医療情報システムのサイバーセキュリティ対策と薬機法との連携を整備しています。

医療機器のサイバーセキュリティ対策は、医療機器にかかわるすべてのステークホルダーで連帯責任を負っていると言えます。医療機関だけではなく、医療機器の製造に関わるサプライチェーン全体でセキュリティ対策を整えることが重要です。

医療機器メーカーによる調達時は、インフラ設備の運用保守、機器の調達、自社製品の開発プロセス委託など外部委託時のセキュリティ要求事項を整理することが不可欠です。セキュリティレベルが脆弱な取引先を侵入口とした攻撃が増えており、製造時における環境のセキュリティ対策と態勢構築が求められています。販売時は、製品セキュリティの取組み体制の設置が肝要です。

医療機器では、薬機法に基づく対応、つまり、市場投入後の自社製品の生産状況やサービス終了の通知、新たに発見された脆弱性の通知を迅速にできるかがポイントとなります。医療機器のサイバーセキュリティ対策は、社会の要請として一段と高まることが予測されます。医療機器への信頼なくして、高齢化社会の医療体制が抱える諸課題への対処は困難です。ステークホルダーが等しくサイバーセキュリティ対策に取り組むことが不可欠です。

日経産業新聞　2023年8月22日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング　
シニアマネジャー　牛越 達也