NRIセキュア、医療機器のセキュリティ確保を支援するアセスメントサービス

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は7日、医療機器規制の国際調和を進めるために活動している団体「国際医療機器規制当局フォーラム」（以下、IMDRF）が発行する「医療機器サイバーセキュリティの原則及び実践」（以下、IMDRFガイダンス）を活用し、「IMDRFガイダンスに基づいたセキュリティアセスメントサービス」を提供開始すると発表した。

　患者の生体情報を収集する機器や遠隔医療を実現する機器などの普及により、医療業界におけるICTの活用が進む中で、医療機器に対するサイバー攻撃の脅威もまた増大している。2020年に公表されたIMDRFガイダンスでは、患者への危害が発生する可能性のあるセキュリティリスクに焦点を当て、医療機器の市販前・市販後を含むすべてのライフサイクル（TPLC：Total Product Life Cycle）に沿って、医療機器事業者などが考慮・順守すべきベストプラクティスが整理されているという。

　国内でも、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」（薬機法）における医療機器の基本要件基準に、IMDRFガイダンスの要件を踏まえた内容が追加され、2023年4月に適用が開始されたとのこと。

　今回発表されたサービスは、医療業界に対する豊富なセキュリティコンサルティング実績を有する専門家が、グローバル基準としてIMDRFガイダンスで医療機器製造販売業者に求められる要件を用い、医療機器に対するリスク評価からセキュリティ対策の立案、実行までを包括的かつ実効的に支援するもの。具体的な内容としては、1）現状課題の把握と課題導出の支援、2）対策優先度の提示、3）簡易ロードマップの提示（オプションサービス）、4）最終報告――、の4つから構成される。

　1）では、IMDRFガイダンスを基に作成した独自のセキュリティアセスメントシートを使用し、ヒアリングを通じて、医療機器製造業者の対応状況を整理する。また整理した情報から、他社事例やセキュリティの知見を用いて網羅的な課題導出を支援するという。

　2）では、1）の現状課題を踏まえて追加で実施すべきセキュリティ対策を立案し、それらの優先度を整理・検討する。最新の脅威動向・傾向を考慮し、事業者の環境・状況に応じた対策の優先順位付けを行えるとのこと。

　続く3）はオプションサービスとなり、評価結果を基に、時間軸に沿って必要な対策を実行するための簡易的なロードマップを策定する。事業者の要望や課題に応じて最適かつ、実効性のある進め方を検討するとした。

　そして4）では、最後に、第三者およびセキュリティの専門家の視点からアセスメント結果を整理し、対象機器におけるリスクや対応策、ロードマップについて提言をまとめ、報告するとしている。

「IMDRFガイダンスに基づいたセキュリティアセスメントサービス」の流れ