連載
» 2019年02月01日 14時00分 公開

海外医療技術トレンド(43):TPP11とG20大阪サミットで注目されるカナダの医療機器サイバーセキュリティ規制 (2/3)

[笹原英司,MONOist]

医療機器製造におけるセキュリティとセーフティの連携、融合が必須に

 カナダ保健省は、ガイダンス草案の中で、図1を引用しながら、サイバーセキュリティリスクと「ISO 14971 医療機器 - リスクマネジメントの医療機器への適用」に基づく安全性リスクの関係について説明している(図1)。

図1 図1 医療機器サイバーセキュリティリスクとISO 14971に基づく安全性リスクの関係 出典:Health Canada「Draft Guidance Document - Pre‐market Requirements for Medical Device Cybersecurity」(2018年12月7日)

 その上で、医療機器に関わるサイバーセキュリティリスクのマネジメントプロセスとISO 14971に基づく安全性リスクのマネジメントプロセスの関係について、図2のような形で説明している。

図2 図2 サイバーセキュリティリスクのマネジメントプロセスととISO 14971に基づく安全性リスクのマネジメントプロセスの関係(クリックで拡大) 出典:Health Canada「Draft Guidance Document - Pre‐market Requirements for Medical Device Cybersecurity」(2018年12月7日)

 ガイダンス草案では、サイバーセキュリティのリスクマネジメントプロセスに関連して、参照すべき国際標準規格として、以下のようなものを例示している。

  • AAMI TIR57:2016 ‐ Principles for medical device security ‐ Risk management
  • ANSI/CAN/UL 2900‐1:2017 ‐ Standard for Software Security Network‐Connectable Products, Part 1: General Requirements
  • ANSI/CAN/UL 2900‐2‐1:2018 ‐ Software Cybersecurity for Network Connectable Products
  • IEC 80001‐1: 2010 ‐ Application of risk management for IT‐networks incorporating medical devices
  • NIST 800‐30 Revision 1 Guide for Conducting Risk Assessments, September 2012

 情報通信技術から発展してきた「セキュリティ」と、電子制御技術から発展してきた「セーフティ」の関係については、日本の厚生労働省が2018年7月24日に公表した「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(関連情報、PDFファイル)の中でも触れられている。

 今後、医療機器サイバーセキュリティの国際規制調和に向けた動きが本格化することが想定されるので、企業が、医療機器の設計・開発・製造・メンテナンス・廃棄に渡るセキュリティとセーフティの連携・融合体制の構築を検討する際に、カナダの医療機器規制の方向性と比較対照するとよいだろう。

 加えて、「セキュリティ」と「セーフティ」の関係は、医療機器に限らず、コネクテッドカー、スマートホームなどIoT(モノのインターネット)機器全般のリスク管理で議論されてきたテーマでもある。異業種のIoTセキュリティに関わるメーカー、サービスプロバイダーにとっても、カナダ国内の動向は参考になる。

Copyright © ITmedia, Inc. All Rights Reserved.