医療機器のサイバーセキュリティ対策
株式会社タカゾノ様
株式会社タカゾノ様
薬局や医療機関の薬剤部で使用する薬科機器・システムを中心に、医療機器・システムも手がける株式会社タカゾノ。取扱製品のIoT化を急ぐ中、サイバーセキュリティ対策の必要性が迫られます。患者の個人情報を守るために国による規制が強まる中、同社はいかにしてサイバーセキュリティ対策に取り組んだのか、そこには、ビーエスピーソリューションズとの出会いがありました。
OVERVIEW課題背景
- 患者の個人情報を守るため、厳格なサイバーセキュリティ対策を定める法規制が、医療機関のみならず機器やシステムを医療機関に提供するベンダーにも拡大され、対応が不可避に。
CHALLENGEお客様の挑戦
- 医療機器おいて、既存の品質管理システムの継続活用を念頭に、IMDRFガイドラインに準拠したサイバーセキュリティ対策を実現することに。
APPROACH当社のアプローチ
- ビーエスピーソリューションズではフィット&ギャップを実施し、アセスメントシートを作成。それを元に同社では社内のドキュメントを精査する、2人3脚の形でサイバーセキュリティ対策を確立。 IMDRFガイダンス対応だけではなく、アセスメントの途中で公表された改定薬機法(2023年4月)の医療機器基本要件基準にもキャッチアップし対応。
RESULT成果
- 40近くのドキュメントについてガイドライン/法規制対応のポイントを明確化するアセスメントシートを作成し、スムーズなサイバーセキュリティ対策を支援。 アセスメントシートに基づき、同社のメンバーがドキュメントをチェックし、改定作業を進めることで、同社内でのノウハウ蓄積・セキュリティ人材育成につながった。
医療機器のサイバーセキュリティ対策が急務に
あらゆる機器がインターネットにつながるIoTの普及にともない、サイバーセキュリティが社会全体の課題となっています。中でも医療分野は、患者の個人情報を扱うことから、特にシビアな対応が求められます。その対象は医療機関のみならず、医療機関が導入しているさまざまな機器のメーカー(ベンダー)にもおよび、医療機器については厚生労働省による法規制も整備されつつあります。
院内外の薬局で使用される薬科機器を中心に医療機器や医療システムを取り扱う株式会社タカゾノ(以下、タカゾノ)もそうした企業の1つです。従来の製品はオフラインで利用されるものが大半でしたが、現在同社では、インターネット時代を見据え、遠隔で製品状態の監視や各種サービスを提供する「見守りサービス」を主要製品へ搭載する方針で計画を進めています。その狙いについて、。
先行して薬科機器への見守りサービスの導入を進める中、医療機器において各部門の代表者からなる社内横断プロジェクトチームを立ち上げることにしました。
サイバーセキュリティ実現に向けてIMDRFガイダンス対応アセスメントを導入
医療機器のサイバーセキュリティ対策は、国内医療機器業界としても、タカゾノとしても、まったく未知の新しい取り組みです。参考となる情報もほとんど出回っていないことから、一般原則とベストプラクティスをまとめた国際的なガイダンスであり、その後、厚生労働省による手引書や改正薬機法のベースにもなった「IMDRFガイダンス※」の翻訳を読み解くなどして情報収集を進めました。「IMDRFガイダンスにはさまざまな要求事項が並んでいますが、それぞれ具体的に何がどこまで必要なのか分からない状況でした。また、弊社では機器の設計・製造等にあたり、独自の品質管理監督システム(以下QMS)を導入しており、できるだけその機能を活用したいと考えていましたが、IMDRFガイダンスの各要求事項を満たす上でQMSのどの管理項目が該当するのか、見当が付かず困りました」と語るのは、医療機器事業部 薬事部薬事課 課長の小川原智彦氏です。
引き続き情報収集を進めるなか、2022年夏、医療機関のサイバーセキュリティ対策をテーマとしたWebセミナーに参加することに。そこでセッション講師を務めていたのがビーエスピーソリューションズでした。「サイバーセキュリティ対策について、医療機器や薬科機器のメーカーとしてどういった対応が必要か、お客様である医療機関は我々メーカーに対しどのような情報を求めておられるかなど、大枠を知りたいと思い参加しました。その後、ビーエスピーソリューションズにいろいろと相談する中で、IMDRFガイダンス対応アセスメントについて提案いただき、専門家を入れて自分たちの知見を高めることで、前述の通り“暗中模索”の状況から抜け出し、素早く着実にプロジェクトを進められると考え、導入に踏み切りました」と菊地氏は語ります。
※「医療機器サイバーセキュリティの原則及び実践」として、2020年4月に国際医療機器規制当局フォーラム(International Medical Device Regulators Forum:IMDRF)が公表した文書。これに基づき、厚生労働省は製造販売業者向けの「医療機器のサイバーセキュリティ導入に関する手引書」を発表。その後の「薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)」の医療機器基本要件基準に採用される(2023年4月)。
専門家の助けを借りて、社内のセキュリティ人材育成をさらに進める計画
本来IMDRFガイダンス対応アセスメントは、実際の業務を見てAS Is/To Beを整理した上で、ガイダンス対応の構想を策定、マネジメントシステムを構築し、その運用状況を評価するまで一連の流れをフルパッケージ化したサービスですが、今回は、既存のQMSを活用してサイバーセキュリティを実現したいというタカゾノの要望も汲み、ドキュメントベースのフィット&ギャップに絞ってアセスメントを実施することに。この導入について、ビーエスピーソリューションズのコンサルタント 山崎芳弘氏は、「今回は弊社としても、医療機器のサイバーセキュリティ対策という新しいテーマについてノウハウを蓄積できる貴重な機会と捉え、サービス内容やサービス期間を含む進め方については、タカゾノ様のご意向を優先し、柔軟に対応させていただきました」と語ります。
まさに2人3脚で進めた今回のプロジェクトについて、「文書ベースのフィット&ギャップに絞ってお願いした理由としては、既存のQMSを活用したかったこともありますが、社内のセキュリティ人材を育成したいという想いもありました。アセスメントシートを元に、関連する40近くのドキュメントについて、自分たちの手でチェックし改定作業を行うことで、今後に向けたノウハウを蓄積できました」と語るのは、タカゾノの医療機器事業部 薬事部薬事課 主任の薮内和良氏です。
プロジェクトでは、アセスメントシートにまとめられた30以上におよぶ要求事項について、具体的に何を意図しているのかなどの疑問をチャットアプリで都度確認しながら進め、最終的に短期間で新製品のサイバーセキュリティ対策を実現しました。今後について、「医療機器のサイバーセキュリティについては、今まさに業界全体が慌てて対応をはじめたところで、まだまだ小規模な医療機関や薬局を中心に対応の遅れが目立ちます。ですがここ1~2年で強い規制がかけられ、もはやビジネスを継続する上で必須条件となりました。タカゾノとしても、引き続きビーエスピーソリューションズのような専門家の助けを借りてセキュリティ人材を育成し、CSIRTやPSIRTを社内に組織したいと考えています」と、井上氏に語っていただきました。
