2024年4月より
医療機器のサイバーセキュリティ対策が必須要件に！

医療機器を上市するためには、医療機器製造販売業として様々な規格に適合する必要があります。
医療機器関連標準の関係（下図）中でも2024年4月より医療機器サイバーセキュリティが業許可要件として加わりました。

医療機器関連標準の関係
画像を拡大する

医療機器サイバーセキュリティの対策とは？

医療機器サイバーセキュリティを検討する際、医療情報3省2ガイドラインへの対応をもって要件を担保しようとする傾向がありますが、これらのガイドラインへの準拠では医療機器サイバーセキュリティの確保はできません。

医療機器サイバーセキュリティとは、
患者に対する健康被害を緩和するものであり、医療機器がサイバー攻撃を受けた場合に予見される下記のリスクを低減するものです。

＜医療機器サイバー攻撃に伴うリスクの例＞

1. 検査装置、診断装置においては、検査の中断 や誤った診断に至る可能性。
2. 治療に用いられる装置においては、治療の中断等の事象の発生の可能性。
3. 放射線治療の線量等の計算プログラムにおいては、過料照射や不十分な量の照射が発生する可能性。

医療機器製造業者は、サイバー攻撃に伴う製品のセキュリティリスクを考慮し、それらを特定・明確化した上で実装レビューを確実に行うためのプロセス構築が必要です。

試験の種類
セキュリティ要求事項試験	攻撃対象領域解析
脅威軽減試験	既知のぜい（脆）弱性スキャン
ぜい（脆）弱性試験	ソフトウェアコンポジション解析
静的コード解析	侵入試験

出典：IEC 62443-4-1:2018[11] の9.6.1

日々巧妙化する医療機器に対するサイバー攻撃には細心の注意を払う必要があり、医療機器製造業者へ求められている役割の重要性はますます高くなっています。

本件について詳細を知りたい、あるいは当社がお力になれることなどございましたら下記のフォームよりお問い合わせください。

▼▼お問い合わせ内容に “医療機器サイバーセキュリティについて” とご記入ください▼▼

お問い合わせはこちら

-- ご参考 --
医療機器サイバーセキュリティ対策を進める上で遵守すべき規制は以下の通りです。

• 厚生労働省 医療機器の基本要件基準第12条、プログラムを用いた医療機器に対する配慮（2023年4月1日改正）
• IMDRF（International Medical Device Regulators Forum：国際医療機器規制当局フォーラム） 「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則および実践)」
• IEC 81001-5-1:2021 (JIS T81001-5-1:2023)