健康医療のイノベーションがICTインフラからアプリケーションサービスへ拡大する中、それを所管する行政機関の法規制・ガイドラインの方向性も変化している。下表は、米国FDAの承認・監視対象となる医療ソフトウェアに関連する主要なガイドライン類を整理したものである。
このうち、ネットワークに接続される市販品(OTS)ソフトウェアの代表例が、Windows、iOS、AndroidなどのOSである。米国の医療ソフトウェアのサイバーセキュリティ対策上、いまFDAの頭を悩ませているのがベンダーのサポートが終了したOS上で稼働する医療機器や医療アプリケーションの取り扱いだ。
米国の場合、ベンダーのサポートが終了したOSで稼働するネットワーク接続の医療情報システムは、「医療保険の携行性と責任に関する法律(通称:HIPAA)」の順守違反と見なされる可能性がある。しかしながら、あらかじめ医療機器に組み込まれたOSの場合は、機器全体の更新ライフサイクルとOSの更新ライフサイクルが異なるため、サポート切れのタイミングに合わせてシームレスに対応できないケースが出てくる。
このような事態で医療機器が外部からのサイバー攻撃の標的になり、患者の医療データが万一漏えいしたら、医療機器ベンダーの責任は重大なものになる。
例えば、2015年7月15日にサポートが終了するWindows Server 2003に関しては、国土安全保障省(DHS)傘下のUS-CERTが2014年11月に警告を発出し、注意を呼び掛けている(関連情報参照)。通常、医療機器の脆弱性は同じDHS傘下で産業制御システムを所管するICS-CERTが監視している。情報通信系技術と電子制御系技術の融合が進む中、技術領域やサービスの階層を超えたセキュリティ対策の連携が求められている。
Copyright © ITmedia, Inc. All Rights Reserved.