Article Posted date 05 October 2023

医療機器は、患者の生命や健康に直結する機器であり、医療業界のデジタル化の流れを受け、サイバーセキュリティに関する取組みが重要となっています。日本においても、国際的な潮流を基にサイバーセキュリティ対応が法制化され、医療機器ベンダーは取組みを求められている状況です。
本稿では、医療機器ベンダーのサプライチェーンに着目して、各フェーズで取り組むべきセキュリティ要件について解説します。

目次

医療業界におけるデジタル活用の加速

医療業界ではデジタル技術の活用が進展しています。オンライン診療の急速な普及、遠隔集中治療ソリューション(eICU)の進展、リアルタイムデータ活用による救急搬送の高度化、データの2次活用によるサイエンスとデータに基づく医療の高度化など、新型コロナウイルス感染症(COVID-19)によるパンデミックは、現在の医療業界の脆弱性を改めて認識させ、さらにその動きを加速させています。

医療機器におけるサイバーセキュリティ法制

医療業界のデジタル技術の活用は医療サービスの利便性、治療の質の向上などのメリットをもたらす半面、医療機器のネットワーク接続や医療データの情報化に伴うサイバーセキュリティリスクをも増大させています。

患者の生命や健康リスク 医療機器は患者の生命や健康に直結する危機があります。医療機器は医療情報システムとの連携を前提とすることで通信機能を備えるものが増えており、これらの機器がサイバーアタックを受けた場合、患者の生命や健康が危険にさらされます。
プライバシーリスク 医療機器は、患者の身体に関するデータを扱います。患者の身体にかかわるデータは、国際的に保護の対象となっている個人情報に該当するものであり、サイバーアタックを受けた際に患者のプライバシーが侵害される懸念があります。
ステークホルダーリスク 医療機器が連携する医療情報システムは、地域医療機関、薬局、介護事業機関、健康保険組合など、多くのステークホルダーから広くアクセスされる可能性があります。そのため、医療機器がサイバーアタックを受けた場合は、ネットワークに属する全体に影響を及ぼし、被害が極大となる可能性があります。

こうした背景を受けて、グローバルではIMDRF(International Medical Device Regulators F orum)において、2020年3月に医療機器に関するセキュリティガイドラインを公表しており、欧米は対応整備を進めています。
日本でも、国際的な潮流を基にサイバーセキュリティの法制が進められています。

医療機器におけるサプライチェーンに求められるセキュリティ要件_図表1

医療機器におけるサプライチェーンに求められるセキュリティ要件

医療機器業界全体でセキュリティを確保していくためには、サプライチェーン全体を俯瞰して包括的なセキュリティ対策を実施していく必要があります。

医療機器におけるサプライチェーンに求められるセキュリティ要件_図表2

(1)調達

一般的な企業では、自社のインフラ設備の運用保守、機器の調達、自社製品の開発プロセス委託など、外部委託は多岐にわたります。昨今の傾向として、企業を狙う際にセキュリティレベルが低い外部委託先を入口とするケースが増えていることに加え、開発プロセスの一部を外部委託している場合は、外部委託先のインシデントが工場の操業停止に繋がるケースも出てきています。

そのため、外部委託をする際の、契約時、契約中、契約終了の各タイミングで必要なセキュリティ要求事項をまとめることが重要です。また、他社に要求し得る前提として、自社におけるセキュリティ要求事項が必要なセキュリティ機能を網羅しているかも確認することが重要です。

(2)製造

  • 工場環境のセキュリティ対応
    製造環境においては、セキュリティ対策の実施に制約が生じるレガシー環境との混在を前提とせざるを得ない環境であるのと同時に、事業環境の変化に合わせて設備増設・レイアウト変更が行われることでセキュリティリスクのある資産の特定が難しい状況にあります。
    そのため、アセスメントによって製造環境の資産・セキュリティリスクの把握を行い、サイバー攻撃が発生した際の自社および顧客への影響を鑑みて必要十分なセキュリティ対策を計画・実行していくことが必要です。また、グローバルのサイバーセキュリティの潮流に合わせるために、NIST、IEC62443といった業界標準のセキュリティフレームワークをベースにセキュリティ対策を立案することも重要です。 

IEC62443では、セキュリティ対策の実施が難しい産業用機器を効率的に管理する手法として、Purdue Modelと呼ばれるネットワーク階層モデルを定義しています。医療機器についても、更新頻度の長期化、安心・安全・安定の稼働が要求されるという点では、産業用機器と類似する性質を抱えており、業界規制を見ても類似する点があります。薬機法のなかでは市販後(医療機関等に納入)で新たに発見された脅威・脆弱性への対応が難しいレガシー機器への対応が求められており、類似する制約を抱える機器の管理手法の事例としてIEC62443は参考にできる基準です。

  • 工場のセキュリティ態勢の構築
    セキュリティリスクは内外の情勢によって絶えず変化することから、セキュリティ態勢の構築は重要です。加えて、工場でインシデントが起きた場合は、事業リスクの判断、事業継続、設備復旧において工場の操業にかかわるあらゆる部門の協力が欠かせません。そのため、事前に必要な要員の選定、運用プロセスを構築するとともに、必要な教育・訓練を施すことで実行可能なセキュリティ態勢の構築に取り組むことが必要です。
  • 製品セキュリティの対応
    昨今、巧妙化するサイバー攻撃への対応として、製品そのものにサイバーセキュリティ機能を具備することを義務付ける取組みが各国で進められています。
    米国ではIoT Cybersecurity Improvement Act of 2022が成立し、連邦政府がIoT機器を調達する際のガイドライン(NIST SP 800-213)を策定しており、消費者向けIoT製品に対するセキュリティラベリング制度の構築が検討もされています。
    欧州連合(EU)では、IoT機器の相互接続の増加によるリスクの増加を考慮して、サイバーレジリエンス規制(EU Cyber Resilience Act)が提案されています。
    日本で施行された薬機法はこれらの流れを組むものであり、無線または有線にてメディア媒体を含む他の機器、ネットワーク等との接続可能な医療機器(SaMD含む)、および当該製品の附属品等を対象に、機器の構想から販売(EOL・EOSに至る)までの全ライフサイクルであるTPLCにてサイバーセキュリティ対応およびリスクマネジメントの実践を求めています。


参考:「医療機器におけるサイバーセキュリティ対策の動向」(KPMG)

(3)販売

患者の生命や健康において、医療にかかわるステークホルダーは共同責任を負っていることから、ステークホルダー間におけるサイバーセキュリティの情報連携が重要になっています。医療機器ベンダーにおいては、市場後の自社製品に対するEOL、EOSの通知、新たに発見された脆弱性の通知などを迅速に行えることが求められており、自社の製品に関する製品セキュリティの取組み体制(PSIRT)の設置も重要です。

KPMGでは、「調達」、「製造」、「販売」の各フェーズにおいて包括した支援を行っています。

【関連インサイト】

KPMGのサービス紹介

関連サービスとして以下の支援を行っています。

執筆者

KPMGコンサルティング
シニアマネジャー 牛越 達也

お問合せ

ネットワークに結ばれた地球

サイバーセキュリティ

サイバーセキュリティ

多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。
サイバーセキュリティ関連情報

サイバーセキュリティ関連記事バックナンバー

サイバーセキュリティ関連記事バックナンバー

サイバーセキュリティに関する最新情報や調査結果などの解説、KPMGが提供する支援サービスを紹介しています。