　さらに、医療機器サイバーセキュリティ原則草案では、医療機器サイバーセキュリティの市販後考慮事項を掲げている。連載第49回で触れたオーストラリア薬品・医薬品行政局（TGA）のガイドライン類（関連情報）のように、医療機器製造業者や規制当局だけでなく、医療機関や患者、善意のホワイトハッカーなど、さまざまなステークホルダーを網羅する考慮事項を提示している点が注目される。具体的には、以下のようなテーマについて、各ステークホルダー向け考慮事項を挙げている。

意図する使用環境で作動する機器（医療機関・患者向け、医療機器製造業者向け）
情報共有（規制当局向け、医療機関向け、ユーザー向け、政府機関や情報共有主体などその他のステークホルダー向け）
協調的な脆弱性の公開（CVD）（医療機器製造業者向け、規制当局向け、脆弱性の報告者（例：セキュリティ研究者およびその他の脆弱性発見者）向け）
脆弱性の救済策（医療機器製造業者向け、医療機関・患者向け、規制当局向け）
インシデント対応（医療機器製造業者向け、医療機関向け、規制当局向け）
レガシー医療機器（医療機器製造業者向け、医療機関向け）

　このうち、「意図する使用環境で作動する機器」では、医療機関・患者向けに、サイバーセキュリティのベストプラクティスの採用や、全ユーザーに対する訓練／教育の提供を推奨している。

　「情報共有」では、前述の一般原則や市販前対策の章を受けて、セキュリティに対する認識や成熟度が異なるステークホルダーが構成する医療機器セキュリティエコシステムの内部だけでなく、異なるセクター間や国際間の情報共有を推奨している。

　「協調的な脆弱性の公開（CVD）」では、CVDについて、脆弱性の開示に関連するリスクを低減するソリューションを見つける際に、研究者およびその他の利害関係者が、製造業者と協力して取組むプロセスと記述している。CVDを推進するためには、個々の医療機器製品レベルで存在する製品コンピュータ緊急対応チーム（P-CERT）や、企業組織レベルで存在するコンピュータ緊急対応チーム（CERT）／コンピュータセキュリティインシデント対応チーム（CSIRT）、規制当局、情報共有分析組織（ISAO）だけでなく、善意のセキュリティ研究者／ホワイトハッカーを巻き込んだ産官学連携コミュニティーの構築・運営が必須となる。

　「脆弱性の救済策」では、医療機器製造業者向けに、サイバーサプライチェーンリスクマネジメントの観点から、サードパーティーコンポーネント対策が組み込まれているほか、医療機関・患者向けには、パッチ当てや専門医療施設環境の考慮事項に加えて、在宅医療環境の考慮事項（例：在宅医療向け自己管理型SaMDの遠隔アップデート）が明記されている点が注目される。在宅医療機器は今後の成長が期待される領域である半面、製造業者や医療機関側ではコントロールできないセキュリティリスクが多く存在するので、特段の注意が必要だ。なお、SaMDについては、規制当局向けの市販後パッチ当て対策でも言及している。

　「インシデント対応」では、特に医療機関に対して、ポリシー／役割（例：製造業者が開示するSBOMやISAOの活用方法など）、役割に応じた訓練（例：セキュリティ・フォレンジックへの対処法など）、分析・対応（例：インシデントの影響度評価など）に関する考慮事項を例示している。

　「レガシー医療機器」では、医療機器製造業者に対して、医療機器の寿命やサポート終了日に関する明確な通知や、補完的コントロール策の活用などを推奨しているほか、医療機関に対しては、老朽化した技術を使い続けることで高まるリスクや費用の問題点を指摘した上で、トータル製品ライフサイクルにおける医療機関側の責任などを例示している。

医療機器サイバーセキュリティの後に控えるAI規制の国際標準化

前のページへ 1|2|3|4 次のページへ