医療のセキュリティ 01-22-2019

カナダ保健省が医療機器のサイバーセキュリティに関するガイドラインを発表

Mike Nelson

医療業界では、その性質上、機密の患者データを扱います。医療記録に加えて、今日の医療機器の多くはネットワーク接続されており、潜在的なサイバー攻撃に対して脆弱です。

2018年10月に、米国食品医薬品局(FDA)は、サイバーリスクを含む市場導入前の医療機器に関するガイドラインを発表しました。その数週間後、カナダ保健省は、医療機器のサイバーセキュリティに関する市販前要件のガイドライン文書を発表しました。この文書は、製品の開発段階において医療製造機器の製造業者に対し、製品が市場にリリースされる前に安全であることを保証するためのサイバーセキュリティにおける推奨事項を提供することを目的としています。

サイバーセキュリティは、法的責任、収益の損失、さらに患者や顧客からの信頼の喪失など、医療提供者およびデバイス製造業者に複数のリスクをもたらします。接続機器の急成長に伴い、ヘルスケア業界はセキュリティインシデントや侵害の脅威を最小限に抑えるための対策を講じることが求められるようになりました。医療機器メーカーは、製品の計画と開発の際に自社製品にセキュリティを組み込む必要が出てきたのです。

医療機器サイバーセキュリティの市販前要件に関するカナダ保健省ガイドライン文書は、製造業者が他の機器とのインタフェースにおけるすべての接続を保護することを奨励しています。これにより、サーバーや電子カルテシステムなどのバックエンドシステムに接続する際の安全な認証のためのベストプラクティスが保証されます。このガイドラインには、保存データおよびデバイス上のデータの暗号化によるデバイスとバックエンドシステム間の接続の保護も含まれており、デバイスへのアクセスと特権を付与するためのユーザーアクセス制御に関する推奨事項がまとめられています。

セキュリティ業界の観点から、PKIの適切な実装とデジタル証明書の使用が、バックエンドシステムに対してデバイスを安全に認証し、転送中のデータを暗号化するための最良の方法だと考えられます。

ほぼすべての業界がサイバー犯罪の影響を受けやすいのですが、医療業界は、個人情報と物理的な安全性の両面から、サイバー脅威が個人の生活に直接影響を及ぼす可能性がある業界です。サイバーセキュリティを確保することは、デバイスメーカー、規制当局、ヘルスケアIT、そして患者とクライアントにとっての責任です。医療機器の市販前の開発においてセキュリティ保護のガイドラインを持つことは、ヘルスケアエコシステム内のすべての関係者を保護するために不可欠なのです。

接続された医療機器はいたるところにあります。より多くのデバイスが市場に参入するにつれて、サイバーセキュリティ保護を確保することはより困難になっています。接続された医療機器には、診断装置、MRI装置やCATスキャン装置などの画像保管通信システム(PACS)、実験装置、輸液システム、さらには患者用ベッドさえも含まれます。現在、機器メーカーの多くは接続された機器からデータを監視および収集するために、病院全体で使用するタブレットコンピュータを提供しています。最も急速に成長している接続型医療機器は、連続的なグルコースモニターおよびインスリンポンプを含む心臓、神経学および糖尿病用機器のような消費者向け製品です。これら消費者向け機器は患者が着用しているか、患者に埋め込まれており、収集したデータは通常Bluetoothを介してスマートフォンやスマートウォッチに集約され、その後ワイヤレスでクラウドに送信されます。医療機器が病院で購入されるか、患者と消費者によって購入されるかなどにかかわらず、今回カナダ保健省が発表したガイドラインはすべての機器に適用されます。

カナダ保健省のガイドライン文書では、構成設定を操作してデバイスを変更しようとする許可のない個人からのアクセス防止を考慮し、製品のセキュリティテストを製造元の検証および検証プロセスに組み込むことを推奨しています。なお、推奨される戦略には、安全なデバイス設計、デバイス固有のリスク管理、検証と認証、そして新たなリスクの監視と対応計画が含まれています。

カナダ保健省は、実質的で具体的かつ実用的なガイドラインを提供することによって、製造業者がサイバーセキュリティ問題の対処においてより敏感に対応できるように支援を続けており、これらは賞賛されるべきことです。このガイドラインは、セキュリティが医療機器の開発に不可欠であることを保証し、製造業者の開発プロセスを支援する、市場として歓迎するべき規制指針です。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失