連載
» 2016年02月23日 10時00分 公開

海外医療技術トレンド(10):米国FDAが強化を求める医療機器のサイバーセキュリティ (2/3)

[笹原英司,MONOist]

サポート切れOSで稼働する医療機器のサイバーセキュリティ対策

 昨今、米国の医療業界では、サイバー攻撃に起因する患者データ漏えいが相次ぎ、保健福祉省が所管する「医療保険の携行性と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act of 1996)」順守が問題となるケースが増えている。

 このような流れを受けて、NH-ISACは、2016年1月26日、保健医療分野の情報標準化を担う電子ヘルスケアネットワーク認定委員会(EHNAC:Electronic Healthcare Network Accreditation Commission)との間で、HIPAA違反の未然防止/リスク低減を目的としたサイバーセキュリティに関する覚書(MoU)を締結した(関連情報)。

 米食品医薬品局(FDA)の承認を受けた「医療機器」も、所管外の「非医療機器」も、デバイスやソフトウェアが、ネットワークを介して、医療施設/医療保険者のシステムと連携し、患者の個人データなど保護対象保健情報(PHI:Protected Health Information)をやりとりすれば、HIPAA順守義務が課せられる。サイバーセキュリティの観点から、重要インフラである医療機関のICTサプライチェーンを構成する外部委託先として、医療機器企業に対するセキュリティ/プライバシー対策の要求事項も高度化している。

 医療機関や医療保険者のサイバーセキュリティ対策強化の影響は、FDAが所管する医療機器規制にも影響が及んでいる。

 FDAの医療機器サイバーセキュリティへの取り組みをみると、2005年1月、ネットワーク接続される市販品(OTS:Off-the-Shelf)ソフトウェアを組み込んだ医療機器のサイバーセキュリティ対策ガイドラインを公表し、ソフトウェアパッチなどの手段によるサイバーセキュリティ対策のための修正については医療機器の設計変更とはならない点を明記している(関連情報)。

 現在も問題となっているのが、ベンダーのサポートが終了したOS上で稼働する医療機器や医療アプリケーションの取り扱いだ。とりわけ医療機器の場合、「Windows XP」や「Windows Server 2003」、「Windows 7」といった、サポート切れによるサイバー攻撃の脅威増大が想定されるOSが広く利用されてきた経緯があり、事態は深刻である。

 例えば、2013年、NH-ISACやICS-CERTは、インターネット・セキュリティ・センター(CIS)医療機器イノベーション・安全・セキュリティ・コンソーシアム(MDISS)が主導する、Windows OSを念頭に置いた「医療機器セキュリティ・ベンチマーク・イニシアティブ」(関連情報)に、パートナーとして参画している。また、2015年7月15日のWindows Server 2003のサポート切れに際しては、DHS傘下のUS-CERTが2014年11月に警告を発出して注意を呼び掛けている(関連情報)。このようなことから、今後は、医療機器メーカーでも、業種・業界や所管官庁の枠を超えたサイバーセキュリティ情報共有体制の継続的運用が求められる。

Copyright © ITmedia, Inc. All Rights Reserved.