医療機器とサイバーセキュリティ | 薬剤師トピックス

最近の医療機器には、プログラムを含んだものもあり、個人情報の保護・サイバーセキュリティの確保ということも重要な問題になってきています。

プログラムを含んだ医療機器においても、安全な使用を確保するために、医療機器に関するサイバーリスクに対する適切なリスクマネジメントが重要となってきています。

医療機器のサイバーセキュリティの確保に関しては、既に2015年に『医療機器におけるサイバーセキュリティの確保について(平成27年4月28日付け薬食機参発0428第1号・薬食安発0428第1号)厚生労働省医薬食品局安全対策課長連名通知)』が出されていますが、2018年7月24日には、『医療機器のサイバーセキュリティの確保に関するガイダンスについて(薬生機審発0714第1号・薬生安発0724第1号 )』という通知も出され、具体的なリスクマネジメント及びサイバーセキュリティ対策についてのガイダンスも示されました。

サイバーセキュリティって何?

サイバーセキュリティについて、ピンとこない人もいると思いますが、法律でいうと『サイバーセキュリティ基本法』(平成26年法律第104号)という法律があります。内閣においては『サイバーセキュリティ戦略本部』、内閣官房においては『内閣サイバーセキュリティセンター』が設置されていて、サイバーセキュリティ戦略は国としても重要な問題になっています。

法律の『サイバーセキュリティ基本法』では、サイバーセキュリティについて次のように定義しています。
「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること」

まあ、なんか長ったらしく複雑な書き方をしていますが、要は一言で言ってしまえば”サイバー攻撃に対する防御”ということになるでしょう。
具体的には、コンピューターへの不正侵入、データの改ざん・破壊、情報漏洩、コンピューターウイルスの感染といったサイバー攻撃から、コンピューターやコンピューターネットワークを守り、安全を確保することになります。

サイバーリスクと医療

サイバー攻撃された場合のリスクのことを『サイバーリスク』といったりしますが、サイバーリスクは安全性や信頼性が損なわれて危害が生じるリスクということになります。
このサイバーリスクを考えたとき、特に医療機器の場合は、「人の受ける身体的傷害若しくは健康障害、又は財産若しくは環境の受ける害」といったことが想定されます。

医療に関係するサイバーリスク、サイバーセキュリティ対応として、厚生労働省は『医療情報システムの安全管理に関するガイドライン』を作成していて、随時改定を行ってきています。

2018年7月24日出された通知
『医療機器のサイバーセキュリティの確保に関するガイダンスについて(薬生機審発0714第1号・薬生安発0724第1号