NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、医療機器規制の国際的な調和促進に向け活動する団体「国際医療機器規制当局フォーラム(以下、IMDRF)」が発行する「医療機器サイバーセキュリティの原則及び実践(以下、IMDRFガイダンス)」[i]を活用し、「IMDRFガイダンスに基づいたセキュリティアセスメントサービス(以下、本サービス)」を本日より提供します。
医療機器のためのサイバーセキュリティガイダンスとは
患者の生体情報を収集する機器や遠隔医療を実現する機器などの普及により、医療業界におけるICT(情報通信技術)の活用が進んでいます。ネットワークに接続される医療機器が増えると同時にサイバー攻撃の脅威が増大する中、医療機器におけるセキュリティ対策の方針をまとめたIMDRFガイダンスが2020年に公表されました。IMDRFガイダンスでは、患者への危害が発生する可能性のあるセキュリティリスクに焦点を当て、医療機器の市販前・市販後を含む全てのライフサイクル(TPLC:Total Product Life Cycle)に沿って、医療機器事業者などが考慮・順守すべきベストプラクティスが整理されています。
国内では、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法)」における医療機器の基本要件基準に、IMDRFガイダンスの要件を踏まえた内容が追加され、2023年4月に適用が開始されました。
本サービスの概要
本サービスでは、医療業界に対する豊富なセキュリティコンサルティング実績を有する専門家が、IMDRFガイダンスに基づき、医療機器に対するリスク評価からセキュリティ対策の立案、実行までを包括的かつ実効的に支援します。
本サービスは、以下の4つの内容から構成されます。
1.現状課題の把握と課題導出の支援
IMDRFガイダンスを基に作成した独自のセキュリティアセスメントシートを使用し、ヒアリングを通じて医療機器製造業者の対応状況を整理します。整理した情報から、他社事例やセキュリティの知見を用いて網羅的な課題導出を支援します。
2.対策優先度の提示
現状課題を踏まえて追加で実施すべきセキュリティ対策を立案し、それらの優先度を整理・検討します。最新の脅威動向・傾向を踏まえて、事業者の環境・状況に応じた対策の優先順位付けを行うことが可能です。
3.簡易ロードマップの提示(オプションサービス)
評価結果を元に、時間軸に沿って必要な対策を実行するための簡易的なロードマップを策定します。事業者の要望や課題に応じて最適かつ、実効性のある進め方を検討します。
4.最終報告
さいごに、第三者およびセキュリティの専門家の視点から、アセスメント結果を整理し、対象機器におけるリスクや対応策、ロードマップについて提言をまとめ、報告します。
図:「IMDRFガイダンスに基づいたセキュリティアセスメントサービス」の流れ
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/imdrf-guidance
NRIセキュアでは、本サービスのほかに、製品のセキュリティ開発プロセス構築支援や、セキュリティインシデント対応態勢の構築支援など、ガイダンスの要求事項への対応を確実に実現するためのサービスを幅広く提供しています。セキュリティ対策の各種製品の導入プロジェクトを支援することも可能です。
NRIセキュアは、今後もサイバーセキュリティ対策支援を通じて、医療機器分野のデジタル化推進と、安全・安心な社会の実現に貢献していきます。
[i] 医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス):サイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスです。例えばデータプライバシーの侵害ついては適用範囲外であるなど、患者への危害が発生する可能性に関する検討に限定されています。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp