COVID-19による感染症を契機として、今まで進まなかった新たな医療体制構築に向け、医療のIoT化が進んでいます。しかし、医療機器のセキュリティが担保されなければ、サイバー攻撃によって、事故が起きてしまうこともあります。先進国アメリカでの医療機器のセキュリティ強化の動向、日本での現状を把握することで、いかに医療機器のセキュリティ対策が必要か見えてきます。
米国専門機関「FDA」のよるプログラム医療機器のセキュリティ強化
情報技術分野において、アメリカは世界をリードし「GAFA」はその代表的な企業です。医療機器においても、メドトロニックやジョンソン・エンド・ジョンソンなどが世界のトップに並んでおり、多くのベンチャー企業も新たな医療の事業化に挑戦しています。
しかし、情報技術はその使い方を間違えると大きな危険性も孕んでいます。アメリカでは、1985年から1987年の間に、6件の悲惨な事故が続けて発生しました。この原因はコンピューターのプログラムの設計不良に起因する治療用放射線の過剰照射によるものでした。この教訓を受け、医療機器に用いられるソフトウェア設計に関する規制を強化しているのが、アメリカ食品医薬局(FDA:Food and Drug Administration)です。
FDAの目的は、国民の健康福祉を守ることであり、違法な製品の取締り、安全性の検査、製品開発を支援するガイドラインや法規制強化を行っています。当初はプログラムで実現する医療機器単体の機能の安全設計などを中心としていましたが、最近は、システムのセキュリティなどが重要視されています。
医療機器へのサイバー攻撃への対策
現在、アメリカの病院では1台のベッドに平均10~15の医療機器がネットワークに接続されているという報告があります。そして、これらの機器にはセキュリティ上の「脆弱性」がある、つまり、権限のない外部からのネットワーク攻撃を阻止する設計がなされていない問題が指摘されています。
実際には、2016年に糖尿病の治療に用いられるインスリンポンプを第三者が無線制御により不正にアクセスし、インスリン投与量を変更できるという危険性が判明。10万人以上の顧客に対して製造企業から警告が通知されました。また、推定47万5000人に埋め込まれた心臓ペースメーカーがハッキングによりプログラムコマンドを書き換えられる恐れがあるため、2018年にFDAが製品リコールを指示し、開発企業はファームウェア(電子機器に組み込まれたコンピュータシステムを制御するためのソフトウェア)を書き換えて対策しました。このようなサイバー攻撃は、実証実験も行われています。現実の事故にはなっていませんが、例えば、植え込み型除細動器を外部から操作して心臓に致命的な刺激を与えることが可能であった、あるいは、手術支援ロボットを、外科医以外の第三者が割り込んで自在に制御できたという研究結果があります。
上記のことから、FDAでは、2016年に製品販売後のセキュリティガイドライン、2018年には市販前申請のガイドラインが制定されており、今後もさらに強化される見通しです。日本では、同様の役割を厚生労働省が担っていますが、FDAは世界各国に大きな影響を与えています。
セキュリティ意識を高めるための日本の取り組み
国内では、厚生労働省から2020年5月13日に「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」が発表されています。このガイダンスは企業を主な対象としていますが、医療のセキュリティ確保には、企業側の努力だけでは十分ではありません。
米国における調査によると、「病院のスタッフの患者プライバシーへの関心は高いのに対して、機器のセキュリティに対する意識は低い」という指摘があります。また、国内の調査報告書においても、「医療機器におけるセキュリティ被害の発生を抑えるためには、医療機器を扱う医療従事者及び一般利用者のセキュリティ意識を高める必要がある」と述べられています。医療事故が起きてから対策するでは間に合いません。今からでも、サイバーセキュリティに対する適切な認識を持ち、医療機器へのセキュリティ強化することで、事故を未然に防ぐ必要があります。
関連リンク