検索
Japan
医療業界/医療機器メーカーに求められるSBOM対応とサイバーセキュリティ強化の動向(IMDRFガイダンス、JIS T 81001-5-1、薬機法、薬事承認)
本記事では、医療業界/医療機器メーカーにおいて対応が必要となっているサイバーセキュリティ強化、特にSBOM(ソフトウェア部品表)への対応について解説します。
想定読者
- 医療機器メーカーの方
- 医療機関の方
- 医療系サービスの提供事業者の方
- 上記に対してソフトウェア開発をおこなう受託企業の方
など
>>>>>SBOMでお困りの方はこちらも要チェック!<<<<<
ソリューションメニュー「医療業界/医療機器メーカー向けSBOM支援」
医療機器のサイバーセキュリティ導入に関する動向
医療およびヘルスケアの業界では、デジタルヘルスの文脈でAIやIoTなどIT技術を活用する動きが活発になっています。一方で、昨今はサイバーセキュリティに関連する被害が増加しており、特に医療の現場においては病院など医療機関におけるランサムウェアの被害なども報告されています。このような医療にかかわるITシステムや医療機器に問題が生じると、人体、そして人命に影響を及ぼす可能性があります。そのため医療機関および医療機器メーカー、医療系サービス提供事業者などは、これまで以上のサイバーセキュリティ対策が求められています。
特に医療機器については世界中で使われる製品が増加していることから、各国の共通認識のもとでサイバーセキュリティに取り組む必要があります。
IMDRFガイダンス
このような状況を受け、医療機器規制の国際整合化を議論するIMDRF(国際医療機器規制当局フォーラム)は「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び実践)」というガイダンス(以降、IMDRFガイダンス)を2020年に取り纏めました。
これは国境の枠組みを超えて医療機器の安全性を向上させるために作成されたガイダンスであり、サイバーセキュリティ対策の国際的な調和を図ることを目的としています。
日本国内の動向
日本ではこれまで「医療機器のサイバーセキュリティの確保に関するガイダンス」が示されてきました(リンク)が、上記IMDRFガイダンスの内容をふまえ、新たに「医療機器のサイバーセキュリティ導入に関する手引書」が2021年に発行されました(リンク)。
また2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました(リンク)。これによって医療機器のサイバーセキュリティ確保に関して法整備が整った形となっています。※1年間の経過措置がとられた後、2024年4月以降サイバーセキュリティ対応が必須となります。
なお基本要件基準への適合性確認においてはJIS T 81001-5-1に基づいた対策の実施が必要とされ、高度管理医療機器および管理医療機器(つまり人体に影響を与えるような機器)については、承認・認証申請において本規格などへの適合性を示す資料の添付が必要となります(リンク)。
またこのタイミングでIMDRFの追補ガイダンスをふまえて「医療機器のサイバーセキュリティ導入に関する手引書」が改訂され、第2版として発行されました。この改訂版にはSBOM対応などについての詳細が追加されています(リンク)。
以下に動向をまとめます。詳細は各URLを参照ください。
| 日付 | 内容 |
|---|---|
| 平成27年4月28日 | 医療機器におけるサイバーセキュリティの確保について |
| 平成30年7月24日 | 医療機器のサイバーセキュリティの確保に関するガイダンスについて |
| 令和2年5月13日 | 国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼) |
| 令和3年12月24日 | 医療機器のサイバーセキュリティの確保及び徹底に係る手引書について |
| 令和5年2月25日 | JIS T 81001-5-1:2023 ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ―第5-1部:セキュリティ―製品ライフサイクルにおけるアクティビティ |
| 令和5年3月9日 | 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準の一部を改正する件 |
| 令和5年3月31日 | 医療機器の基本要件基準第12条第3項の適用について |
| 令和5年3月31日 | 医療機器のサイバーセキュリティ導入に関する手引書の改定について |
| 令和5年5月23日 | 医療機器の基本要件基準第12条第3項の適合性の確認について |
<補足>JIS T 81001-5-1
JIS T 81001-5-1(IEC 81001-5-1)は医療機器向けのサイバーセキュリティ規格(プロセス規格)です。医療機器ソフトウェアライフサイクルプロセスであるJIS T 2304(IEC 62304)に規定される要求事項とともに実施するサイバーセキュリティ関連の取り組みが規定されています。規定されるアクティビティはIEC 62443(制御システムセキュリティプロセス)の内容に由来しています。(参考1、参考2)
なお本規格の「8 ソフトウェア構成管理プロセス」がSBOM関連の項目となっています。医療機器の基本要件基準の適合性確認に関しても、本プロセスにおいてSBOMを適切に作成することが規定されています(リンク)。
医療機器のサイバーセキュリティ導入に関する手引書
IMDRFガイダンスの要求事項をふまえ、日本国内では「医療機器のサイバーセキュリティ導入に関する手引書」が作成されています。2021年に作成された初版ではSBOMに関してその立ち位置と重要性などが記載されるのみに留まっていましたが、2023年に作成された第2版ではIMDRFの追補ガイダンス(リンク)の内容をふまえてSBOMに関する詳細が記載されています。
特に附属書にはSBOMに関する具体的な内容が記載されており、以下の内容が記載されています。
- A. ソフトウェア部品表(SBOM)の扱い
- A.1 SBOMの全体的なフレームワーク
- A.2 SBOMの作成
- A.3 SBOMの要素と推奨フォーマット
- A.4 SBOMの提供
- A.5 SBOMの事例
- A.5.1 SBOMの構成(アーキテクチャーの展開)
これらを参照することによって、SBOM対応の具体的な内容がおおむね把握できるものと思われます。
一方、本手引書では「具体的にどんなツールを使ってSBOMを作るべきか?」「ソフトウェアコンポーネントリポジトリはどんな構成にすべきか?」といった、より突っ込んだ内容までは記載されていません。このあたりは各企業・各製品開発チームによって事情が異なることから、それぞれの組織に委ねられている部分ではないかと思われます。自身の組織や製品・サービスに適したSBOM導入と運用について、それぞれが最適なものを検討して構築していく必要があります。
まとめ
SBOMは医療機器メーカーにとってはもちろん、医療業界全体のサイバーセキュリティにおいて重要な役割を担います。一方で、具体的な対応方法については単一のベストプラクティスが存在せず、企業ごとに最適な戦略を構築する必要があります。
日立ソリューションズではSBOMに関するコンサルティングからツール販売・導入支援などをワンストップで提供しています。SBOMに関するお困りごとがありましたら本ページお問い合わせからお気軽にご連絡ください。
雑誌の執筆やインタビューの依頼をお受けしております。 ご希望の方はお問い合わせからご連絡ください。
