医療機器のサイバーセキュリティ - 規格及び規制の …...2018/07/26 · iec...

IEC TC62/SC62A/JWG7， JWG1 2018

IEC TC62 SC62A/JWG7, JWG3, JWG1 Expert

キヤノンメディカルシステムズ株式会社

中里俊章

医療機器のサイバーセキュリティ-規格及び規制の動向紹介 -

※本資料中の英文の和訳は参考訳です。正確な表現が必要な場合は、元となる英文を参照してください。※本資料中の記述は、発表者の個人的解釈が含まれており、IMDRFや各国規制当局が認めた内容ではない事を了承ください。

IoTセキュリティ OEMパートナーフォーラム

July 26, 2018

2IEC TC62/SC62A/JWG7， JWG1 2018

目次

はじめに

国際動向（米国FDAガイダンスとISAO）

医療機器のサイバーセキュリティの確保に関するガイダンス（案）－ライフサイクルの視点から－

基本要件とサイバーセキュリティ

まとめ


はじめに

医療機器が、病院のネットワークや患者の自宅のインターネットサービスにも接続されている今日の世界では、患者のケアのための技術的進歩が顕著になるとともに、機器の性能や機能に影響を与えてしまうサイバーセキュリティ侵害のリスクも増加しました。

これらの脅威と戦う最良の方法は、製造業者が機器の全製品ライフサイクルを通じてサイバーセキュリティを考慮することです。

言い換えれば、製造業者は、サイバー脅威に直面しても適切な機器の性能を保証できるよう機器を設計、開発する際にサイバーセキュリティのための対策を組込み、機器が市場に出て患者が使用している間は、継続的にサイバーセキュリティに関する懸念事項を監視し対処するべきです。

December 27, 2016 by FDA Voiceより引用

Suzanne B. Schwartz, M.D., M.B.A., is FDA’s Associate Director for Science and Strategic

Partnerships, at the Center for Devices and Radiological Health

市販前

市販後


ソフトウェアとITインフラによる運用の広がり

ょ

求められる相互運用性とセキュリティの取組み

インターネット環境

製販・製造業者の開発・設計・保守環境


国際規格のスコープ拡張

医療機器ソフトウェアヘルスソフトウェアとヘルスIT

ヘルスソフトウェアIEC 62304 Ed.2

Software-only

medical device(SaMD)

Software as part of a medical device

特定のコンピュータ

プラットフォーム

汎用のコンピュータプラットフォーム

他の医療用途の機器又はソフトウェア（非医療機器）

医療機器

ヘルスソフトウェア製品IEC 82304-1

Software-only product for

other health use

Software as part of specific health

hardware

医療機器ソフトウェアIEC 62304

診断支援プログラム治療計画プロクラム

医療情報システム電子カルテ等

ウェラブル健康機器等


医療機器の分類と規制（セキュリティリスクはクラス分類に関係せず）

国際分類＊

クラスI クラスII クラスIII クラスIV

リスクに応じた分類

不具合が生じた場合でも、人体へのリスクが

極めて低いと考えられるもの

不具合が生じた場合でも、人体へのリスクが

比較的低いと考えられるもの

不具合が生じた場合、人体へのリスクが比較的高いと考えられるもの

患者への侵襲性が高く、不具合が生じた場合、生命の危険に直結する恐れがあるもの

具体例体外診断用機器、鋼製小物（メス、ピンセット等）、X

線フィルム、歯科技工用用品

MRI装置、電子内

視鏡、消化器用カテーテル、超音波診断装置、歯科用合金

透析器、人工骨、人工呼吸器

ペースメーカ、人工心臓弁、ステントグラフト

薬機法の分類

一般医療機器管理医療機器高度医療機器

規制届出第三者認証

医療機器プログラム

医療機器非該当医療機器プログラム

小 ← リスク → 大

大臣承認（PMDAで審査）

＊日米欧豪加の５地域が参加する「医療機器規制国際整合化会合（GHTF)」において平成15年12月に合意された医療機器のリスクに応じた４つのクラス分類の考え方を医薬品医療機器等法に取り入れている。


ヘルスケア業界の現状把握 - ランサムウェア -

ランサムウェア「WannaCry」への大規模感染Cancer patients in limbo as five hospitals suffer ‘major’ IT crash

(英国で最大規模の病院の1つ、Barts Health NHS Trustのロンドン市内の5つの病院で、IT障害のため136件の手術と数百件のがん患者の化学療法の予約をキャンセルする事態が発生。障害は4月20日に発生し、抗がん剤を処方するシステムや医用画像情報システム(PACS)が使用不能になったほか、血液検査等も不能になった。….）────────────────────────────────────

2017/5/1 （IPA CIPセキュリティニュース 2017年5月第3週号より）http://www.telegraph.co.uk/news/2017/05/01/cancer-patients-limbo-five-hospitals-suffer-major-crash/

This Cyber Attack May Cause Loss Of Life

(6月に発生した世界的なランサムウェア感染事件で、米製薬大手Merck社のコンピュータシステムが大きな被害を受けた影響により、同社の小児用B型肝炎ワクチンの流通が2017年8月から2018年初めまで、大人用B型肝炎ワクチンの流通が2018年末まで停止する見込みであることが判明。 ….）────────────────────────────────────

2017/8/1 （IPA CIPセキュリティニュース 2017年8月第1週号より）

http://threatbrief.com/cyber-attack-may-cause-loss-life/

http://www.telegraph.co.uk/news/2017/05/01/cancer-patients-limbo-five-hospitals-suffer-major-crash/

http://threatbrief.com/cyber-attack-may-cause-loss-life/


ヘルスケア業界の現状把握 - ランサムウェア他事例 -

ハリウッド長老教会派医療センター：院内ネットワークに不審なアクセスを認識、IT部門で調査しマルウェア侵入を確認。ローカルサーバーを介してPCに感染。 PC利用の業務は一切できず。「解除キー」と引き換えに40ビットコイン（約192万円）を要求され、支払い。使用不能になっていたネットワークと電子カルテシステム（Electric Medical Record(EMR) システムのロック）を復旧。(2016年2月)

カンザスハート病院：院内PCへの感染が発覚。解除キーと引き換えに少額の身代金を支払うも、その後も額を釣り上げた金銭を要求される。院内IT部門は以降の交渉を打ち切り。自力での復旧。交渉を打ち切ることができた背景には患者情報などの重要情報がランサムウェアの影響の範囲外であったことが挙げられる。（2016年5月）

上記以降：米国メリーランド州のMedStar Health（2016年3月）、米国ケンタッキー州のHenderson病院（2016年3月）、また、ドイツのノルトライン・ヴェストファーレン州のLukas HospitalとKlinikum Arnsberg病院（2016年2月）、またカナダのOttawa Hospital（2016年3月）がランサムウェアの被害に遭ったことが報道されている

エモリーヘルスケア：ジョージア州アトランタ。 20万人分の医療情報をデータベースに保存。保護されたデータベースの内容が完全の消去され、復元と引き換えに18万ドル相当のビットコインを要求（2017年2月）

McAfee (マカフィー株式会社) 提供


医療機器のサイバーセキュリティ - 規格及び規制の動向紹介 -

国際動向（米国FDAガイダンスとISAO）

9


FDAのサイバーセキュリティに対するアプローチ

2018年市販前ガイダンス更新の予定

Final on

Jan,

2017

Postmarket Management of Cybersecurity in Medical Devices

Final Guidance資料より引用

http://www.fda.gov/training/cdrhlearn

http://www.fda.gov/training/cdrhlearn


サイバーセキュリティに関する市販後マネジメント（2016/12）

重要事項 “リスクベース”フレームワークとして国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワークを適用する。

危害の扱い → 患者の危害“Patient Harm”リスクマネジメント（ISO 14971）の対象として患者の身体的危害を扱う（PHI（保護対象保健情報）の喪失・漏洩等はこのガイダンスの対象としない。）

リスクの評価機器の安全と基本性能に対する脆弱性の影響

（脆弱性が悪用された場合の）患者の危害の大きさ

悪用可能性（Exploitability） --- 例えばCVSSを利用

NISTIR 7621 Revision 1

Small Business Information Security:

The Fundamentalsより引用

Postmarket Management of

Cybersecurity in Medical Devices

FDA Guidanceより引用

CVSS – Common Vulnerability

Scoring System

https://www.first.org/cvss

https://www.first.org/cvss


サイバーセキュリティに関する市販後マネジメント（2016/12

患者の危害に対する市販後リスクをマネジメントするサイバーセキュリティルーチン更新またはパッチの適用

FDA が 21 CFR part 806下の事前通知や報告を要求しない。

機器の安全又は基本性能を危うくするもの、深刻な健康上の悪影響や死をもたらすもの FDAは当局まで通知することを医療機器製造業者に要求する。

製造業者はISAOのひとつである国民保険情報共有分析センター（NH-ISAC）に加盟することを推奨する。

Postmarket Management of

Cybersecurity in Medical Devices

FDA Guidance Webinar資料より引用

受容できないリスク

気付き分析

対策実施

30日 60日


【参考】米国の脆弱性情報共有体制

ISAO（Information Sharing and Analysis Organizations：情報共有分析機関）サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組織

製造業者がISAOに積極的に参加することで、患者やユーザとの連絡や調整を含む

リスクコントロール手段のタイムリーな展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪用を最小限に抑えることで、企業、医療機器コミュニティ、ヘルスケア・公衆衛生（HPH：Healthcare and Public Health）分野を支援することができる。

ISAOは、参加同意書、ビジネスプロセス、運用手続き、プライバシー保護に関する方針を文書化している。

製造業者は、医療機器に影響を及ぼす脆弱性および脅威を共有する。

製造業者は、サイバーセキュリティの脆弱性に関連する顧客との連絡を含め、ISAOと脆弱性情報を共有する。

製造業者は、脆弱性情報、脅威情報、医療機器リスクアセスメント、対策ソリューション、サイバーインシデントの対応アプローチ、医療機器製品ポートフォリオに影響を及ぼすISAOから受け取ったベストプラクティスを評価し、対応するプロセスを文書化している。

継続的にサイバーセキュリティに関する懸念事項を共有し、監視し対処する


FDAの最新動向

Medical Device Safety Action Plan:Protecting Patients, Promoting Public Health （2018/4/17）4. Advance medical device cybersecurity （参考和訳）

機器のセキュリティを更新し、パッチをあてる機能を構築する・この機能に関する適切なデータの提供（市販前）・ “Software Bill of Materials（ソフトウェア構成表）”の作成と提供（市販後の脆弱性マネジメントに活用）

医療機器サイバーセキュリティの市販前ガイダンス（Premarket guidance on medical device cybersecurity）を更新して、中程度及び重大なリスクを防御する

脆弱性が明らかになったときに、企業が脆弱性を調整して開示するためのポリシーと手順を企業に適用することを要求する新しい市販後組織を検討する。既存の機器の脆弱性の調整と対応メカニズムを補完し、機器メーカやFDAのリソースとして役立つ官民パートナーシップであるCyberMed Safety（Expert）Analysis Board（CYMSAB）…

www.documentcloud.org/documents/4442378-Medical-Device-Safety-Action-Plan.html


医療機器におけるセキュリティ対応は進められているか？

セキュリティパッチは、適切にインプリメントされているか？

医薬品医療機器等法を言い訳にして放置されていないか？

パッチの情報入手経路、評価、導入（デプロイ）の手順は文書化されているか？

マイクロソフトセキュリティ・パッチの例（定期パッチの提供方法の変更）評価基準は変わらず、評価・試験方法は変更となる？ → 運用・手順書の改訂

緊急又は重大と判断された脆弱性等のセキュリティ情報について、製品の状況や対応に関する情報を医療機関又は使用者にわかりやすく提供しているか？

製品のセキュリティポリシーは明確か？

セキュリティのレベルを維持・向上するための対策を積極的に開発及び組織的な活動として取り入れているか？

“Cybersecurity Framework”を適用しているか？

オープンソースを含む導入ソフトウェア（SOUP のうち既製品）のセキュリティレベルを適切に管理できているか？（サプライチェーンのマネジメント）

既出荷品に対する対応プロセスがあり、機能しているか？


セキュリティとプライバシー

技術的対策とプロセス

IEC 62443 Series（-2-1 CSMS）

Establishing an industrial automation and control system security

結合システム＋運用結合システム＋運用結合システム＋運用結合システム＋運用医療機関等統合ITシステム

ヘルスITシステム

ヘルスソフトウェア(組込み、単体ソフトウェア製品)

ISO/IEC 27000 Series Information Security Management System責任部門

Policy / Processes

NIST SP800（53, 82・・）

NIST（68,・・・）

IEC/TR 80001-2-2IEC 80001-1

MDS2

開発・保守(ライフサイクル)

セキュリティ・ベースライン

ポリシー / 構成

HIPAA/HITECH

IHE(HL7/DICOM)

ISAONH-ISAC

MDR, GDPR,CybersecurityGuidance, RMF…

時間

製造業者、インテグレータ

セキュリティ

プライバシー

ポリシー/プロセス（フレームワーク）

連携


医療機器のサイバーセキュリティ -規格及び規制の動向紹介 -

医療機器のサイバーセキュリティの確保に関するガイダンス（案）－ライフサイクルの視点から－

※ 今後変化する可能性がある内容を含む


医療機器のサイバーセキュリティの確保に関するガイダンス（案）

AMEDガイダンス案との差分等その１

２. 検討が必要となる医療機器及び使用環境の特定の※１後半

（※１医療機器のリスクマネジメントの規格であるJIS T 14971:2012 では、危害（harm）を「人の受ける身体的傷害若しくは健康障害、又は財産若しくは環境

の受ける害」と定義している。本ガイダンスでは、患者や医療機器の使用者に対する安全性に係る危害を第一に想定しているが、医療機器の製造販売業者には機密情報の漏洩等の危害についても十分な対応をすることが社会的に求められていることに十分に留意すべきである。）

３.１製造販売業者によるサイバーセキュリティ対応

：特に医療機器の開発・評価時に使用されるデータベースや、実使用時に利用される OSなどの既製品ソフトウェアについても医療機器のライフサイクル（※２）を

通じ考慮する必要がある。なお、これら既製品ソフトウェアを用いた医療機器のライフサイクルと、搭載した当該既製品ソフトウェアのライフサイクルを整合させることが望ましいが、困難である場合には、その対応について検討を行い、必要に応じて使用者へ必要な情報を提供する（５項参照）。

一般的情報セキュリティの視点

AI関連技術等の最新の技術動向の視点

パブコメ終了



AMEDガイダンス案との差分等その２

３.１製造販売業者によるサイバーセキュリティ対応リスクマネジメントを行うにあたっては、医療機器の意図する使用や使用者、使用環境等を考慮したベースラインを定めて実施、検証することが望ましい。:

なお、製造販売業者は、供給する製品のサイバーセキュリティ対応に関する社内の方針・体制を品質システム等の一部として確立することが求められる。また、使用者に対してサイバーセキュリティに関連する問合せ窓口及びサービスに係る取組みを使用者へ開示することが望ましい。

５.使用者等への情報提供１）添付文書への記載事項２）技術資料等３）その他

・医療機器のライフサイクルに応じた対応の方法

サポート期間中の運用（パッチ当て等）、サポート停止に関わる対応、AI関連技術では、市販後学習を行うような場合、性能を意図的に壊すような学習データ等について確認するよう情報提供する

パブコメ終了

セキュリティ・ベースライン

ポリシー / 構成例）HP等を利用して情報提供（≠ 情報公開）


既製品ソフトウェアのライフサイクルとサポートについて

マイクロソフト製品のサポートライフサイクル（OTSソフトウェアの例）

医療機器のライフサイクル（耐用期間、使用期間 10~14年）

既製品（OTS）ソフトウェアの重大なセキュリティパッチ等が入手できなくなる可能性がある。

継続的な保守（パッチの適用、情報の提供、アップグレード計画等）

製品名製品発売日メインストリームサポート終了日（発売日から5年）

延長サポート終了日(セキュリティパッチ提供終了）

（発売日から10年）

Windows 2000 Professional 2000 年 3 月 31 日 2005 年 6 月 30 日 2010 年 7 月 13 日

Windows XP Professional 2001 年 12 月 31 日 2009 年 4 月 14 日 SP2 : 2010 年 7 月 13日SP3 : 2014 年 4 月 8 日

Windows 7 2009 年 10 月 22 日 2015 年 1 月 13 日 2020 年 1 月 14 日

Windows 8.1 2013 年 11 月 13 日 2018 年 1 月 9 日 2023 年 1 月 10 日

Windows 10 IoT Enterprise

2015 LTSB

2015 年 7 月 29 日 2020 年 10 月 13 日 2025 年 10 月 14 日

Windows 10 IoT Enterprise

2016 LTSB

2016 年 8 月 2 日 2021 年 10 月 12 日 2026 年 10 月 13 日



AMEDガイダンス案との差分等その３

２.３医療機器のネットワーク等への接続２.３.１ネットワーク等への接続機器医療機器が接続されるネットワークを踏まえた検討が必要である。医療機関内に限定され、インターネット回線と分離された環境で使用される機器と、インターネット回線への接続を意図する機器では使用環境が異なっており、接続環境に応じた配慮が必要となる。

ネットワーク通信により、医療機器内の情報を送受信したり、操作をしたりすることが可能な医療機器については、より慎重にサイバーセキュリティ対応を考慮すべきである。なお、ネットワーク接続を利用するリモートメンテナンス等の保守機能を持つ医療機器についても同様である。

パブコメ終了

参考ISO TS 11633-1 （未制定）Health Informatics — Information security management for

remote maintenance of medical devices and medical information

systems — Part 1: Requirements and risk analysis

患者情報の他、守る情報の特定：設定、パスワード、ログ、保守情報等の扱い



基本要件とサイバーセキュリティ


電子プログラマブルシステムに対する要件比較

MDR(17.)/IVDR(16.) MDD(12.) MDR(17.) /IVDR(16.)の参考和訳17. Electronic programmable systems — devices that

incorporate electronic programmable systems and

software that are devices in themselves

12. Requirements for medical devices connected to

or equipped with an energy source電子プログラマブルシステム－電子プログラマブルシステムを組込んだ医療機器，及びそれ自体が医療機器となるソフトウェア。

17.1. Devices that incorporate electronic

programmable systems, including software, or

software that are devices in themselves, shall be

designed to ensure repeatability, reliability and

performance in line with their intended use. In the

event of a single fault condition, appropriate means

shall be adopted to eliminate or reduce as far as

possible consequent risks or impairment of

performance.

12.1. Devices incorporating electronic programmable

systems must be designed to ensure the repeatability,

reliability and performance of these systems

according to the intended use. In the event of a single

fault condition (in the system) appropriate means

should be adopted to eliminate or reduce as far as

possible consequent risks.

ソフトウェアを含む電子プログラマブルシステムを組み込んだ医療機器，またはそれ自体が医療機器となるソフトウェアは，その意図する使用の範囲内でシステムの再現性，信頼性および性能が確保されるように設計されなければならない。また，単一故障状態の場合，その結果生じるリスクまたは性能障害を可能な限り除去または低減できるよう，適切な手段が講じられなければならない。

17.2. For devices that incorporate software or for

software that are devices in themselves, the software

shall be developed and manufactured in accordance

with the state of the art taking into account the

principles of development life cycle, risk

management, including information security,

verification and validation.

12.1a For devices which incorporate software or

which are medical software in themselves, the

software must be validated according to the state of

the art taking into account the principles of

development lifecycle, risk management, validation

and verification.

ソフトウェアを組込んだ機器または，そのものが機器であるソフトウェアについては，開発のライフサイクル，情報セキュリティを含むリスクマネジメント，検証及びバリデーションの原則を考慮し，最新の技術に基づいてソフトウェアが開発，製造されなければならない。

17.3. Software referred to in this Section that is

intended to be used in combination with mobile

computing platforms shall be designed and

manufactured taking into account the specific

features of the mobile platform (e.g. size and contrast

ratio of the screen) and the external factors related to

their use (varying environment as regards level of

light or noise).

なしこのセクションで参照するモバイル・コンピューティング・プラットフォームと組み合わせて使用することを意図するソフトウェアは，モバイルプラットフォームの特定の機能（例えば，画面のサイズとコントラスト比）及び，それらの使用に関連する外部要因（光またはノイズのレベルに関する様々な環境）を考慮して設計，製造されなければならない。

17.4. Manufacturers shall set out minimum

requirements concerning hardware, IT networks

characteristics and IT security measures, including

protection against unauthorised access, necessary to

run the software as intended.

なし製造業者は，ハードウェア，ITネットワーク特性及び不正アクセスに対する保護を含むITセキュリティ対策について，ソフトウェアを意図するとおりに実行するために必要な最小要件を提示しなければならない。

基本要件基準

New

New


電子プログラマブルシステムに対する要件比較

欧州会議及び欧州理事会は，MDD（医療機器指令），IVDD（体外診断用医療機器指令），AMID（能動型埋込医療機器指令）をMDR（医療機器規則）とIVDR（体外診断用医療機器規則）に改定する審議を行い，2017年5月5日にMDR及びIVDRがEU官報(Official Journal)に掲載された。MDR及びIVDRの効力を発揮する日は掲載日の20日後とされている。なお，移行措置期間は，MDRが3年，IVDRが5年とされている。

【主な変更点】 17.1 項において，impairment of performance（性能障害）が明記された。

17.2 項において，情報セキュリティを含んだリスクマネジメントを考慮することが明記された。

17.3 項が追加され，モバイルコンピューティングプラットフォームの特性及び外部の使用環境等を考慮して設計，製造することが明記された。

17.4 項が追加され，ITネットワークの特性やITセキュリティ対応に関する最小要件を提示することが明記された。

MDD 12項，IVDD 6項 “Requirements for medical devices connected to or equipped

with an energy source”の要求内容には差異があったが，MDR 17項，IVDR 16項で同一内容となった。

プライバシー含む



まとめ

セキュリティに関しては医療機器においても、国際規格及び各国規制が整備されつつあり、セキュリティリスクは、医療機器のリスクマネジメントの重要な要素となっている。

医療機器のリスクマネジメントでは、患者安全の視点から、危害の定義の「to people 部分」を重視する。つまり、安全に影響を及ぼすセキュリティリスクを含む、安全に関わるリスクに焦点を当てる。

サイバーセキュリティ対応の基本的な要素となるのは、「既製品（導入）ソフトウェアのセキュリティパッチ等の運用」及び「使用者への情報提供」であり、その実施のための設計・開発だけでなく、プロセス、体制の確立とリソースの確保が組織の課題となる。

IEC TC62/SC62A/JWG7， JWG1 2018


ご清聴ありがとうございました

医療機器のサイバーセキュリティ - 規格及び規制の …...2018/07/26 · iec...

Documents