　医療機器メーカーや医療機関、セキュリティベンダーなどが参加する医療機器サイバーセキュリティ協議会は2021年5月19日、医療機器メーカー向けセキュリティインシデント訓練を実施した。トレンドマイクロが2020年8月に発表した医療向けインシデント対応ボードゲームをベースに医療機器メーカー向けにカスタマイズしたものを用い、大都市圏を中心に緊急事態宣言が発出されていることもありオンラインで行われた。

　医療機器サイバーセキュリティ協議会は、医療機器メーカー、セキュリティベンダー、医療機関、関係府省などの有志が集う組織だ。医療施設、医療機器、医療情報システムの関係者が相互に実践的なセキュリティレベルの向上を目的としてフラットに議論することで、病院における現実的なサイバーセキュリティのリスク、課題、現実的な対応を議論する場として2019年9月に設立された。オリンパス、日立製作所、シスメックス、福井大学医学部附属病院、群馬大学医学部附属病院、トレンドマイクロなどが参加している。

　今回のセキュリティインシデント訓練は同協議会として第6回目の活動となる。報道陣向けに活動を公開するのは初めてだ。訓練には、オリンパス、シスメックス、日本光電工業などの医療機器メーカー、東京大学医学部附属病院、千葉大学医学部附属病院、群馬大学医学部附属病院、岡山大学病院などの医療機関、トレンドマイクロ、日立製作所、富士通Japan、神戸デジタル・ラボなどのセキュリティベンダー／ITサービスベンダーから49人が参加した。

厚生労働省は2023年をめどにIMDRFのガイダンスを導入予定

　訓練に用いたインシデント対応ボードゲームは、トレンドマイクロが2016年から無償提供しており、2018年に金融版、2020年に医療版と大学版といったように各業界向けのものも公開されている。今回の訓練では、医療機関のインシデント対応訓練を目的とする医療版をベースに、主体を医療機器メーカーとするアレンジを行った。

訓練に用いたインシデント対応ボードゲームの概要（クリックで拡大）出典：トレンドマイクロ

　トレンドマイクロの松山征嗣氏は「医療版のインシデント対応ボードゲームを作った背景には、厚生労働省の『医療情報システムの安全管理に関するガイドライン』の最新版（5.1版）で非常時におけるサイバーセキュリティ体制の整備に関する項目が追加されたことがある。一方、医療機器についても『医療機器のサイバーセキュリティの確保に関するガイダンス』があるものの、機器納入後のポストフェーズについては、OSのレガシー化などを含めたアップデートを含めて課題がある。実際の現場でも、きちんとした対応ができているとはいえない状況だ」と語る。

厚生労働省の「医療情報システムの安全管理に関するガイドライン」の最新版（左）や「医療機器のサイバーセキュリティの確保に関するガイダンス」（右）における、サイバーセキュリティ関連の項目（クリックで拡大）出典：トレンドマイクロ

　また、総務省と経済産業省による「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（いわゆる2省ガイドライン）では、医療機器がネットワークにつながる限り情報システムの要素が発生するとしており、医療機器単体だからと言ってセキュリティ対応しなくていいとは見なされていない。さらに、厚生労働省は、国際医療機器規制当局フォーラム（IMDRF）が提唱する「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」を2023年をめどに国内導入する方針である。

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」では運用フェーズでも医療機器メーカーの責任を一定程度認めている（左）。厚生労働省は国際医療機器規制当局フォーラム（IMDRF）のガイダンスを2023年をめどに導入する予定（右）（クリックで拡大）出典：トレンドマイクロ

　これら国内における法整備の進展も含めて、医療機器メーカーとそのユーザーである医療機関にとって、医療機器のサイバーセキュリティは重要な課題になっているのだ。

経営責任者や各部門の担当者など8つの役割からインシデント対応を検討

　　　　　　 1|2 次のページへ