医療情報セキュリティ
17.Aug.2022
スマート医療情報セキュリティ法制 医療機器メーカーはどのように展開を始めるべきか
近年、コロナの禍は触媒のように、多くの分野のデジタルトランスフォーメーションを加速させており、スマート医療もその1つです。しかし明らかなのは、デジタルトランスフォーメーションは諸刃の剣のようで、国や国民に利益をもたらす反面、攻撃を受ける面も拡大し、ハッカーにに悪用される可能性があります。これに伴い、米国のFDAやEUのMDR/MDCGなどの規制が相次いで発表されており、医療材料や医療機器の場合、販売前に情報セキュリティのテストおよび検証が義務付けられています。ほとんどの医療機器の開発者やメーカーにとって、これらの仕様は大きな課題です。
Onward Securityコンプライアンスプランナー詹英綺(ザン・インチー)によると、現在、多くの医療機器メーカーは、米国や欧州連合に製品を販売するための条件に対して興味を示しています。その条件は大きく3つに分かれており、一つ目は「上場前申請」、米国で適用される仕様はFDA 510KまたはPMA で、EUはMDRです。
2つ目は「情報セキュリティ関連のニーズ」で、米国への参入には「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文書を参照する必要があります。EUの場合はMDCG-2019-16に従います。3つ目は「書類審査機関」で、米国はFDAの下のOPEQであり、欧州連合は指定されたNotified Body (NB)を通じてレビュータスクを実行します。
Onward Securityコンプライアンスプランナー詹英綺(ザン・インチー)によると、現在、多くの医療機器メーカーは、米国や欧州連合に製品を販売するための条件に対して興味を示しています。その条件は大きく3つに分かれており、一つ目は「上場前申請」、米国で適用される仕様はFDA 510KまたはPMA で、EUはMDRです。
2つ目は「情報セキュリティ関連のニーズ」で、米国への参入には「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文書を参照する必要があります。EUの場合はMDCG-2019-16に従います。3つ目は「書類審査機関」で、米国はFDAの下のOPEQであり、欧州連合は指定されたNotified Body (NB)を通じてレビュータスクを実行します。
概念設計の根源から、安全コンセプトを導入する必要がある
米国を例にとると、市販前申請プロセスを開始する場合、まずは製品グレードを決め、実質的な同等製品を見つけることです。次に、FDAの特別なガイドラインと認定基準を調べ、文書の内容を準備し、所定の文書形式の論理的な順序に従って編集します。
EUの場合、プロセスは米国と似ていますが、内容は比較的厳格で、組織の役割、医療機器、UDIの登録が必要であり、範囲は市販後の管理をカバーしています。
米国FDA、EU MDR/MDCGおよびその他の関連規制に直面して、Onward Securityは情報セキュリティコンプライアンスにおいて補助的な役割を果たすことが期待されています。詹英綺(ザン・インチー)は、今は「安全要求は根源から」の時代だと言い、医療機器も安全開発の原則が重要視されています。その開発プロセスはいくつかの段階に分かれています。1. セキュリティ設計: 需要から生まれる設計も、構想された設計も、通信セキュリティ、データ保護、承認と検証、ソフトウェア保守機能、物理的な外部インターフェイス、機器の信頼性や可用性などの完全な安全コンセプトを最初から導入すべきです。2. リスク管理: ISO 14971、Thread Model、NIST CSFおよびその他の標準を参照すべきです。3. 検証とテスト:開発された製品が当初の期待に満たしているかどうかを確認し、その適用性を確認し、ソフトウェアとハードウェアを検証する必要があります。4. インシデント対応: SBOMの構成に基づいて関連する脆弱性を監視し、サードパーティのオープンソースソフトウェアまたはライブラリを監視および追跡することに重点が置かれています。
EUの場合、プロセスは米国と似ていますが、内容は比較的厳格で、組織の役割、医療機器、UDIの登録が必要であり、範囲は市販後の管理をカバーしています。
米国FDA、EU MDR/MDCGおよびその他の関連規制に直面して、Onward Securityは情報セキュリティコンプライアンスにおいて補助的な役割を果たすことが期待されています。詹英綺(ザン・インチー)は、今は「安全要求は根源から」の時代だと言い、医療機器も安全開発の原則が重要視されています。その開発プロセスはいくつかの段階に分かれています。1. セキュリティ設計: 需要から生まれる設計も、構想された設計も、通信セキュリティ、データ保護、承認と検証、ソフトウェア保守機能、物理的な外部インターフェイス、機器の信頼性や可用性などの完全な安全コンセプトを最初から導入すべきです。2. リスク管理: ISO 14971、Thread Model、NIST CSFおよびその他の標準を参照すべきです。3. 検証とテスト:開発された製品が当初の期待に満たしているかどうかを確認し、その適用性を確認し、ソフトウェアとハードウェアを検証する必要があります。4. インシデント対応: SBOMの構成に基づいて関連する脆弱性を監視し、サードパーティのオープンソースソフトウェアまたはライブラリを監視および追跡することに重点が置かれています。
医療機器の情報セキュリティ要件は、個人情報の保護に注意を払うだけでなく、継続的な監督にもさらに注意を払う
当製品がレビューのためにFDAに送られる場合、いくつかのセキュリティ要件を満たす必要があります。まず第一に、FDAは信頼できる安全な製品の設計を要求します。すなわち、サイバーセキュリティ関連の脅威や侵入に直面した場合、ある程度の防御が必要で、どんな状況でも予想の機能を発揮する必要があります。
次に、メーカーがバウチャーまたは暗号化方法を介してデータを処理することを願っています。デバイス自体に関しては、ログとセキュリティインシデント検出レコードの提供が求められています。そのほか、定期的なパッチや更新があるか、DDoSなどのネットワーク攻撃に対処するかどうかを説明する必要があります。
EU MDRの場合は、「付録一」を通じてセキュリティ仕様を表現しています。MDCG-2019-16との違いというと、付録一は概念ステートメントに偏り、方向性を示すだけで、2019-16は実装の提案です。したがって、リスティングアプリケーションを申請する場合、業界は双方の内容を参照する必要があります。
まとめると、付録一はITセキュリティ、運用セキュリティ、情報セキュリティ、リスク管理と削減、セキュリティ設計、検証とテスト、その他の項目など、メーカーに到達してほしい目標を1つずつ説明するような内容です。
MDRは情報セキュリティを重要視するだけでなく、メーカーが全体的かつ持続可能な情報セキュリティ管理措置を取ることも期待しています。たとえば、個人情報の保護に注意を払うことです。製品が研究のために同様の健康保険データベースを使用している場合、またはいくつかの臨床研究が合わせて行われる場合、関連データの安全性を考慮する必要があります。製品販売後の市場のセキュリティ管理措置については、関連する弱点の監視と更新メカニズム、および継続的な改善手順と実践を確立する必要があります。要するに、EUは、製品の操作安全性は、情報のセキュリティと密接な関係があり、別件として扱ってはいけないと考えています。つまり、販売前後のSafetyとSecurityについて包括的に考える必要があります。
次に、メーカーがバウチャーまたは暗号化方法を介してデータを処理することを願っています。デバイス自体に関しては、ログとセキュリティインシデント検出レコードの提供が求められています。そのほか、定期的なパッチや更新があるか、DDoSなどのネットワーク攻撃に対処するかどうかを説明する必要があります。
EU MDRの場合は、「付録一」を通じてセキュリティ仕様を表現しています。MDCG-2019-16との違いというと、付録一は概念ステートメントに偏り、方向性を示すだけで、2019-16は実装の提案です。したがって、リスティングアプリケーションを申請する場合、業界は双方の内容を参照する必要があります。
まとめると、付録一はITセキュリティ、運用セキュリティ、情報セキュリティ、リスク管理と削減、セキュリティ設計、検証とテスト、その他の項目など、メーカーに到達してほしい目標を1つずつ説明するような内容です。
MDRは情報セキュリティを重要視するだけでなく、メーカーが全体的かつ持続可能な情報セキュリティ管理措置を取ることも期待しています。たとえば、個人情報の保護に注意を払うことです。製品が研究のために同様の健康保険データベースを使用している場合、またはいくつかの臨床研究が合わせて行われる場合、関連データの安全性を考慮する必要があります。製品販売後の市場のセキュリティ管理措置については、関連する弱点の監視と更新メカニズム、および継続的な改善手順と実践を確立する必要があります。要するに、EUは、製品の操作安全性は、情報のセキュリティと密接な関係があり、別件として扱ってはいけないと考えています。つまり、販売前後のSafetyとSecurityについて包括的に考える必要があります。
脅威のモデル化などによるリスク評価の実施
Onward Securityは、お客様がコンプライアンス目標を達成するのをどのように支援するかについて、詹英綺(ザン・インチー)は、まず、セキュリティ開発段階でのセキュリティ設計、リスク管理、インシデント対応などのコンサルティングサービスを提供していると指摘しました。Onward Securityは、お客様の書類、構造、操作方法に基づいて規制と比較し、ギャップ分析結果を作成します。
次に、主にThread Modelingや双方向レトロスペクティブ分析などによるリスクアセスメントを実施し、お客様のソフトウェアの更新状況と、統合管理されているかどうかを把握します。まず、製品に含まれる主要な資産を特定し、次に脅威モデリング手法を使用して弱点を分析します。完成後、製品をテストに送り、予想される情報セキュリティリスクが実際に改善されているかをテストで確認します。測定が完了すると、リスクスコア、つまり残留リスクが与えられ、顧客とこれらの残留リスクを改善または制御するためのフォローアップ措置について話し合います。もう1つのポイントは、主にお客様の開発設計書とテスト文書を通じて、製品開発プロセスが規制要件を満たしているかどうかを理解し、機器の情報セキュリティが実装されているかどうかを確認するための双方向のトレーサビリティ分析です。最後に、Onward Securityは、ソフトウェア統合制御と環境制御についてアドバイスを提供します。
コンサルティングサービスだけでなく、Onward Securityは、技術検査サービスも提供し、製品がお客様の要求する情報セキュリティコンプライアンスを満たしているかどうかを確認します。技術テストは、FDA/MDCG医療材料ネットワークセキュリティ技術テストサービスを提供し、パフォーマンステスト (デバイス自体の外部接続、接続を制御するかどうかなど)、サードパーティ アプリケーション(Mobile App, Cloudなど)またはパッケージセキュリティテスト(デバイスのOS、アプリケーション、パッケージなどのリストを作成)、静的および動的分析(ソースコード検測、侵入テスト、ファジングなどを提供)をカバーします。テストが完了すると、高、中、低レベルのリスクの弱点、修復の提案など、およびFDAとMDRの情報セキュリティ要件への全体的な準拠を通知するレポートが発行されます。
Kick-offからリスク分析と評価、製品の初期テスト、脆弱性の修復と再テスト、クロージングまでのプロジェクトプロセス全体を見ると、約4ヵ月かかります。そしてOnward Securityは、FDA、TFDA、ETSI EN 303645およびその他の情報セキュリティ規制に準拠する多くのエンタープライズ製品を支援してきました。これには、埋め込み型心調律デバイス、グルコーステストシステム、ヘルスブレスレット、ワイヤレス聴診器、非接触型ケアシステム、血糖計測器などが含まれます。Onward Securityの専門コンサルタントと技術テストチームによる検証とテストを通じて、顧客がヨーロッパ、米国、台湾の医療情報セキュリティ規制の要件をより便利かつ迅速に通過し、これらの地域での発売と販売を成功させるのに役立ちます。
次に、主にThread Modelingや双方向レトロスペクティブ分析などによるリスクアセスメントを実施し、お客様のソフトウェアの更新状況と、統合管理されているかどうかを把握します。まず、製品に含まれる主要な資産を特定し、次に脅威モデリング手法を使用して弱点を分析します。完成後、製品をテストに送り、予想される情報セキュリティリスクが実際に改善されているかをテストで確認します。測定が完了すると、リスクスコア、つまり残留リスクが与えられ、顧客とこれらの残留リスクを改善または制御するためのフォローアップ措置について話し合います。もう1つのポイントは、主にお客様の開発設計書とテスト文書を通じて、製品開発プロセスが規制要件を満たしているかどうかを理解し、機器の情報セキュリティが実装されているかどうかを確認するための双方向のトレーサビリティ分析です。最後に、Onward Securityは、ソフトウェア統合制御と環境制御についてアドバイスを提供します。
コンサルティングサービスだけでなく、Onward Securityは、技術検査サービスも提供し、製品がお客様の要求する情報セキュリティコンプライアンスを満たしているかどうかを確認します。技術テストは、FDA/MDCG医療材料ネットワークセキュリティ技術テストサービスを提供し、パフォーマンステスト (デバイス自体の外部接続、接続を制御するかどうかなど)、サードパーティ アプリケーション(Mobile App, Cloudなど)またはパッケージセキュリティテスト(デバイスのOS、アプリケーション、パッケージなどのリストを作成)、静的および動的分析(ソースコード検測、侵入テスト、ファジングなどを提供)をカバーします。テストが完了すると、高、中、低レベルのリスクの弱点、修復の提案など、およびFDAとMDRの情報セキュリティ要件への全体的な準拠を通知するレポートが発行されます。
Kick-offからリスク分析と評価、製品の初期テスト、脆弱性の修復と再テスト、クロージングまでのプロジェクトプロセス全体を見ると、約4ヵ月かかります。そしてOnward Securityは、FDA、TFDA、ETSI EN 303645およびその他の情報セキュリティ規制に準拠する多くのエンタープライズ製品を支援してきました。これには、埋め込み型心調律デバイス、グルコーステストシステム、ヘルスブレスレット、ワイヤレス聴診器、非接触型ケアシステム、血糖計測器などが含まれます。Onward Securityの専門コンサルタントと技術テストチームによる検証とテストを通じて、顧客がヨーロッパ、米国、台湾の医療情報セキュリティ規制の要件をより便利かつ迅速に通過し、これらの地域での発売と販売を成功させるのに役立ちます。
