- HOME
- 医療機器に求められるセキュリティ要件とは? 医療機関へのサイバー攻撃と法整備に伴うセキュリティ対応
設計 医療機器ODM
医療機器に求められるセキュリティ要件とは?
医療機関へのサイバー攻撃と法整備に伴うセキュリティ対応
近年、医療機関におけるサイバー攻撃の被害が増加しており、特に脆弱性を起点としたサイバー攻撃によるインシデントが増加しております。国内の法整備が進む中で求められるセキュリティ要件とその対策方法について、解説します。
国内医療機関のサイバー攻撃状況
ここ数年の間で、クローズド環境である医療機関でのランサムウェアによるサイバー攻撃が増加しており、その多くの感染経路がVPN機器の脆弱性をついた攻撃によるものです。
被害の影響範囲としては個人情報を含むサーバーへのアクセスにより、個人情報の流出が主な内容となりますが、院内ネットワークに接続された各種の医療機器への感染が広がった場合、医療機器への不正操作や機器の停止といった人命に関わる甚大な被害になる可能性があります。
発生年月 | 地域 | 感染経路 | 影響 | |
---|---|---|---|---|
2021 | 2月 | 大阪府 | 外部不正アクセス 経路不明 |
医用画像参照システムサーバに対する不正アクセス・一部データベース破壊 *¹ |
10月 | 徳島県 | VPN機器(脆弱性) ウィルス対策SWの停止 |
電子カルテをはじめとする院内システムが感染カルテが閲覧不可能・復旧まで2か月。 *² | |
2022 | 1月 | 愛知県 | 外部不正アクセス 経路不明 |
療情報システムに外部から不正アクセス(疑い) 電子カルテシステム、医事会計システムのプログラムに不具合が生じ、すべてのサーバが一時停止 *³ |
1月 | 東京都 | 外部端末(USB)接続の可能性 | 病院内のサーバーがに感染し、4日間にわたって新規患者の受け入れや診療の一部を停止 *⁴ | |
4月 | 大阪府 | 外部不正アクセス 経路不明 |
外部からの不正アクセスを受け、患者の電子カルテが使えない状態院内のプリンターが一斉に作動 英文の書かれたA4などの紙が大量に出力 *⁵ |
|
6月 | 徳島県 | 外部不正アクセス 経路不明 |
院内のプリンターから英文の文書が大量に自動出力され、パソコンが再起動し、電子カルテシステムが使用できなくなった *⁶ | |
10月 | 大阪府 | VPN機器(脆弱性) 給食を提供する業者サーバーから侵入 |
電子カルテのシステムに障害が発生し、緊急以外の手術や外来診療などを停止したと発表 全システム復旧までに73日間かかった *⁷ |
|
10月 | 静岡県 | 外部不正アクセス 経路不明 |
2000人を超える患者のデータが保存電子カルテのシステムに障害が発生 *⁸ | |
2023 | 5月 | 岡山県 | VPN機器のSW更新不足 | 電子カルテを含めた総合情報システムに障害が発生 最大4万件の個人情報の流出の可能性あり *⁹ |
2024 | 1月 | 千葉市 | NW機器からの不正侵入 脆弱性をついた攻撃 |
複数サーバ内のファイルが別名ファイルに置き換えられる被害 *¹⁰ |
セキュリティ関連の法整備状況
世界的にも医療・ヘルスケア分野へのサイバー攻撃による被害の増加から、法整備が進められています。
2020年4月にはIMDRF(International Medical Device Regulators Forum:国際医療機器規制当局フォーラム)により、医療機器におけるサイバーセキュリティの一般原則とベストプラクティスを整理した国際的なガイダンスが発表され、2023年4月には、より具体的な2つのドキュメントが発行されました。
また、日本においても、IMDRFガイダンスに基づき、日本薬機法が改訂され、2024年3月に適用となっており、外部コンポーネントを含めたSBOM整備や脆弱性管理プロセスの確立が求められており、2024年4月以降は対応が必須とされております。
医療機器サイバーセキュリティ主な通知内容
日付 | 文書 | 概要 | URL |
---|---|---|---|
2023年3月31日付 | 薬生機審発0331第8号 | 医療機器の基本要件基準第12条第3項の適用について | https://www.japal.org/wp-content/uploads/2023/07/20230331_msk0331-8.pdf |
2023年3月31日付 | 薬生機審発0331第11号、薬生安発0331第4号 | 医療機器のサイバーセキュリティ導入に関する手引書の改訂について | https://www.mhlw.go.jp/content/11120000/001167217.pdf |
2023年3月31日付 | 薬生機審発0523第1号 | 医療機器の基本要件基準第12条第3項の適合性の確認について | https://www.pmda.go.jp/files/000252724.pdf |
第12条第3項の適用内では、下記3つの観点が基本要件基準に盛り込まれています。
- 製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること
- サイバーリスクを低減する設計及び製造を行うこと
- 適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定すること
そのため、日本国内の医療機器製造販売業者や医療機器として使用されるソフトウェアの開発業者はサイバーセキュリティ対応状況の確認が必須となりました。
医療機器製造メーカーに求められる要件と対応策
医療機器製造業者に対して求めている要件として下記が含まれています。
- 製品ライフサイクルの管理
- 脆弱性管理・対策
- ソフトウェアの透明性
上記を満たすために、適切なソフトウェアの脆弱性管理・対応と対策にむけて下記サイクルを継続的に実施することが必要となります。
東京エレクトロンデバイスでは、設計段階から出荷済みの製品に対して、各セキュリティ製品群をご用意しています。
参照
*¹:地方独立行政法人 市立東大阪医療センター「医用画像参照システムサーバへの不正アクセスに対する対応状況の経過報告について」2024年10月28日
https://www.higashiosaka-mc.jp/news/notice/20210924_notice.html
*²:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」2024年10月28日
https://www.handa-hospital.jp/topics/2022/0616/index.html
*³:春日井リハビリテーション病院・附属クリニック「不正アクセス(疑い)によるシステム障害発生のお知らせ」2024年10月28日
https://www.kreh.or.jp/2022/01/19/3837/
*⁴:朝日新聞デジタル「日本歯科大病院のサーバーがウイルス感染 電子カルテ使えず診療停止」2024年10月28日
https://www.asahi.com/articles/ASQ1L4TX0Q1LULZU007.html
*⁵:朝日新聞デジタル「プリンター一斉作動、PC画面に「払え」 大阪の病院に不正アクセス [大阪府]」2024年10月28日
https://www.asahi.com/articles/ASQ4W71RWQ4WPTIL00J.html
*⁶:朝日新聞デジタル「徳島・鳴門の病院にサイバー攻撃 電子カルテにアクセスできず」2024年10月28日
https://www.asahi.com/articles/ASQ6N6QFPQ6NPTLC01W.html
*⁷:大阪急性期・総合医療センター「情報セキュリティインシデント調査報告書概要」2024年10月28日
https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf
*⁸:朝日新聞デジタル 「ファイルを暗号化」「金を払え」 沼津市の医療機関にサイバー攻撃 [静岡県]2024年10月28日
https://www3.nhk.or.jp/lnews/shizuoka/20221108/3030018212.html
*⁹:量子科学技術研究開発機構「QST病院の独立ネットワークのシステムにおけるランサムウェア被害について」2024年10月28日
https://www.qst.go.jp/site/about-qst/20240709.html
*¹⁰:量子科学技術研究開発機構「QST病院の独立ネットワークのシステムにおけるランサムウェア被害について」2024年10月28日
https://www.qst.go.jp/site/about-qst/20240709.html