多階層化が進む健康医療分野のICTとセキュリティ：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

法規制やリスク管理に及ぼす影響とは？

　健康医療のイノベーションがICTインフラからアプリケーションサービスへ拡大する中、それを所管する行政機関の法規制・ガイドラインの方向性も変化している。下表は、米国FDAの承認・監視対象となる医療ソフトウェアに関連する主要なガイドライン類を整理したものである。

施行時期	ガイドライン名	内容
2005年1月	Guidance for Industry - Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software	ネットワーク接続される市販品ソフトウェアを組み込んだ医療機器のサイバーセキュリティ対策指針（ソフトウェアパッチなどの手段によるサイバーセキュリティ対策のための修正については医療機器の設計変更とはならない点を明記）。
2005年5月	Guidance for Industry and FDA Staff - Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices	医療機器に含まれるソフトウェア（スタンドアロン型を含む）の承認申請手続き内容に関する指針
2013年9月	Mobile Medical Applications -Guidance for Industry and Food and Drug Administration Staff	医療機器としてのモバイル医療アプリケーションの対象範囲や規制要件に関する指針
2014年10月	Content of Premarket Submissions for Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff	医療機器のサイバーセキュリティ管理に係る承認申請手続の内容に関する指針
2015年2月	Medical Device Data Systems, Medical Image Storage Devices, and Medical Image Communications Devices - Guidance for Industry and Food and Drug Administration Staff	低リスクで規制適用外となる医療機器データシステム（MDDS）、医用画像保管装置、医用画像通信装置を示した指針
2015年2月	Mobile Medical Applications - Guidance for Industry and Food and Drug Administration Staff	MDDS、医用画像保管装置、医用画像通信装置向けガイドラインを医療機器としてのモバイル医療アプリケーションに反映させた改正指針

---

　このうち、ネットワークに接続される市販品（OTS）ソフトウェアの代表例が、Windows、iOS、AndroidなどのOSである。米国の医療ソフトウェアのサイバーセキュリティ対策上、いまFDAの頭を悩ませているのがベンダーのサポートが終了したOS上で稼働する医療機器や医療アプリケーションの取り扱いだ。

　米国の場合、ベンダーのサポートが終了したOSで稼働するネットワーク接続の医療情報システムは、「医療保険の携行性と責任に関する法律（通称：HIPAA）」の順守違反と見なされる可能性がある。しかしながら、あらかじめ医療機器に組み込まれたOSの場合は、機器全体の更新ライフサイクルとOSの更新ライフサイクルが異なるため、サポート切れのタイミングに合わせてシームレスに対応できないケースが出てくる。

　このような事態で医療機器が外部からのサイバー攻撃の標的になり、患者の医療データが万一漏えいしたら、医療機器ベンダーの責任は重大なものになる。

　例えば、2015年7月15日にサポートが終了するWindows Server 2003に関しては、国土安全保障省（DHS）傘下のUS-CERTが2014年11月に警告を発出し、注意を呼び掛けている（関連情報参照）。通常、医療機器の脆弱性は同じDHS傘下で産業制御システムを所管するICS-CERTが監視している。情報通信系技術と電子制御系技術の融合が進む中、技術領域やサービスの階層を超えたセキュリティ対策の連携が求められている。

Windows Server 2003に関するUS-CERTの注意喚起