株式会社イーコンプライアンス

医療機器の基本要件基準第12条 「プログラムを用いた医療機器に対する配慮」に第3項が追記され、サイバーセキュリティへの対応が必須となりました。
第12条 第3項は2023年4月1日から適用され、1年間の経過措置期間が設定されました。
つまり、2024年3月31日までに対応しなければなりません。
サイバーセキュリティ対応のためには、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することが求められています。

医療機器に組み込むソフトウェアおよびプログラムのみで構成される医療機器（単体プログラム）は、これまでもIEC 62304によって、医療機器ソフトウェアライフサイクル全体を通じて、適切なリスクマネジメントを実施することによって、医療機器製品の安全と基本性能を確保することか求められていました。
加えてサイバーセキュリティに関するリスクを低減し、患者への危害の発生および拡大の防止に繋げる必要があります。

IEC 81001-5-1:2021は、プロセス規格です。
IEC 81001-5-1:2021が要求するアクティビティは、IEC 62304によるソフトウェア開発プロセスに加える必要があります。
また、IEC 81001-5-1:2021が要求するリスクマネジメントは、ISO 14971によるリスクマネジメントプロセスに適用しなければなりません。

サイバーセキュリティ対応のためには、いったいどのような手順書を作成しなければならないのでしょうか。
また、どのような設計開発を実施し、市販後の安全性情報管理を実施しなければならないのでしょうか。
本セミナーでは、サイバーセキュリティ対応の基礎を分かりやすく解説します。

IoT機器等の基盤となる通信技術の進歩に伴い、今後も医療機器が医療機関のネットワーク、他の医療機器または電子機器と接続される機会がさらに増加することが想定されます。
これにより医aサイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。機器がデータ通信による外部からの不正な侵入のリスクに晒される機会が増加することになります。
ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。

IMDRF（国際医療機器規制当局フォーラム）は、2020年3月18日、「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則および実践）」を発出しました。
日本においても2023年を目途にIMDRFガイダンスの業界への導入の検討が進められています。
これにより、厚労省は2021年12月24日に「医療機器のサイバーセキュリティ導入に関する手引書」を発出しました。
2023年度には、サイバーセキュリティの確保が基本要件基準に明記され、医療機器の品目申請において審査対象となる模様です。

「一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。」

本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例を配布し、要点を分かりやすく解説します。