医療データの共有やカルテの電子化など、医療分野のデジタルトランスフォーメーションが進むなか、医療分野でもサイバーセキュリティの脅威に対する認識が高まっている。しかし、危機感は高いものの、対策を講じている医療メーカーはまだ少ない。そして、少ないままで問題ないかというと、そんなことはない。例えば、米国食品医薬品局(FDA)は医療機器の市販前申請で検討すべきセキュリティ機能について、2014年10月にガイダンスを発行して、医療機器のサイバーセキュリティ機能を重視していることを明確に示している。そして、FDAのガイダンスでは、「IEC 80001」や「IEC 62443」などの国際規格を推奨しているが、これらを医療機器およびインフラに適用するには、豊富な知識と高い専門性が必要となる。
例えば、IEC 80001-1:2010は信頼性の高い企業、医療機器メーカー、および他のITプロバイダーに対して適用されるもので、信頼性の高い組織が指定した、医療機器を組み込むネットワークのリスク管理を目的としている。「御社の医療機器はIEC 80001にどのように準拠しているか?」という質問の意味は、「IEC 80001に準拠した環境において、その機器をどのように運用することが可能か?」となる。
本資料は、医療機器開発におけるセキュリティ戦略の開発と実装について詳しく解説し、セキュリティと三原則(機密性、完全性、可用性)に基づくサービスを紹介したものである。
