オーストラリアの医療機器サイバーセキュリティと国際協調：海外医療技術トレンド（49）（3/3 ページ）

既存リソースを有効活用したユーザー向けセキュリティガイドライン

　他方、「ユーザー向け医療機器サイバーセキュリティ情報第1版」は、患者・消費者、保健・医療専門家、小規模事業者、大規模サービス供給者を対象として、表3のような構成内容となっている。

表3　「ユーザー向け医療機器サイバーセキュリティ情報第1版」の構成（クリックで拡大） 出典：Therapeutic Goods Administration（TGA）「Medical device cyber security guidance for industry」（2019年7月18日）を基にヘルスケアクラウド研究会作成

　ユーザー向けガイダンスでも、医療機器基本原則（EP）やNISTサイバーセキュリティフレームワーク1.1版に準拠したリスクマネジメント戦略を採っている点は同じである。

　そして、患者・消費者向けガイダンスでは、ACSCが消費者・小規模事業者向けに策定した「ステイ・スマート・オンライン」（関連情報）の主要項目を参照している。

　小規模事業者向けガイダンスでは、同じくACSCが策定した「エッセンシャル・エイト成熟度モデル」より、以下の8項目を参照している。

【マルウェアの配布および実行を予防する低減戦略】

• 1.アプリケーションのホワイトリスト化
• 2.アプリケーションのパッチ適用
• 3.Microsoft Officeマクロ設定の構成
• 4.アプリケーションのハードニング

【サイバーセキュリティ・インシデントの範囲を抑制する低減戦略】

• 5.管理者特権の制限
• 6.OSのパッチ適用
• 7.多要素認証

【データおよびシステムの可用性を回復する低減戦略】

• 8.日常的なバックアップ

　コンパクトにセキュリティ要求事項が整理されたエッセンシャル・エイトは、要員や予算に限界があるスタートアップ企業にとって参考になる点が多い。

　また、大規模サービス供給者向けガイダンスでは、サービス供給者に適用される標準規格として、以下の4つおよびNISTサイバーセキュリティフレームワーク1.1版を挙げている。

• IEC 80001シリーズ（医療機器を組み込むITネットワークのためのリスクマネジメントの適用）
• ISO/IEC 15408シリーズ（ITセキュリティ評価基準）
• ISO/IEC 30111（情報技術−セキュリティ技術−脆弱性取扱手順）
• ISO 27799（医療情報−健康分野におけるISO/IEC27002を活用した情報セキュリテイマネジメント）

　さらに、サイバーセキュリティ・インテリジェンスと脅威の共有では、業界向けガイダンスと同様に、ACSCやAusCERTとの連携を挙げている。

医療機器サイバーセキュリティやMaSD、AIを巡る国際協調の動き

　なおTGAは、2019年2月13日、「コンサルテーション：ソフトウェア・アズ・ア・メディカルデバイス（SaMD）を含むソフトウェアの規制」（関連情報）を公表し、パブリックコメントを募集している（受付期間：2019年3月31日）。ここでいうSaMDには、人工知能（AI）や機械学習（ML）を利用したアルゴリズムに依存するソフトウェアも含まれている。

　SaMDは、今回TGAが公表した医療機器サイバーセキュリティガイドラインの対象として明記されており、AI／機械学習を利用したSaMDについても、トータル製品ライフサイクルのアプローチに基づいて、サイバーセキュリティ要件を検討することになる。

　本連載第43回）で取り上げたように、国際医療機器規制当局フォーラム（IMDRF）の医療機器サイバーセキュリティ作業部会では、米国とカナダがリード役を担っている。また、米国、カナダ、オーストラリア、日本は、国際規制調和策の一環として、第三者調査機関を使った単一調査実現を目的とする「医療機器単一調査プログラム（MDSAP）」に参画している。

　他方、人工知能（AI）に関わる国際ルールづくりでは、第46回で取り上げたように、2018年G7サミット議長国を務めたカナダ政府と、2019年のG7サミット議長国を務めるフランス政府が連携している。

　2019年8月24日〜26日のG7ビアリッツサミット開催を控え、今後、医療機器サイバーセキュリティやMaSD、AIを巡る国際協調が加速するか否か注目される。