デロイト トーマツ リスクサービスは8月22日、総合的な医療機器サイバーセキュリティ対策サービスの提供を開始した。米国内でのサイバーセキュリティ規制強化を受け、米国でのビジネスの比率が高い国内医療機器メーカーなどを対象に、サイバーセキュリティ体制強化に向けた各種支援を提供する。
デロイト トーマツ リスクサービス パートナーの川勝健司氏
サービスの概要を説明した同社パートナーの川勝健司氏は、2013年の大統領令などによって米国ではサイバーセキュリティへの取り組みの強化が行なわれており、医療機器などを管轄するFDA(Food and Drug Administration、米食品医薬品局)が、セキュリティ問題が発見された機器の認可取り消しや回収指示といった積極的な取り組みを行っている実情を指摘した。
米国市場で医療機器を販売する日本企業もこうした動向に対応する必要があることから、米国内で既に同様のサービスを提供している米Deloitteと協力し、日本企業向けのサービス展開を行うとした。なお同氏は、サービス提供対象となる国内企業について、米国での事業費率の高い数社~十数社がまず挙げられるとした上で、日本国内でも同様の規制が行われる可能性があることから、将来的には対象企業が拡大するとの見通しも述べた。
デロイト トーマツ リスクサービス シニアマネジャーの伊藤由宣氏
また、取り組みの詳細について説明したシニアマネジャーの伊藤由宣氏は、現在施行されている米国の医療機器向けのサイバーセキュリティ規制のうち、2014年12月の「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices」と、2016年12月の「Postmarket Management of Cybersecurity in Medical Devices」が特に重要だと指摘する。
「Premarket」および「Postmarket」という言葉から伺えるとおり、製品の市場投入前の設計や開発の段階での対応に加え、現在では既に市場で稼働中の機器に対しても脆弱性やリスクのモニタリングや報告体制の確立などが求められるようになっているという。こうした対応には、やはり専門知識やノウハウが必要となるため、適切なサービスの活用は不可欠となるだろう。
サイバーセキュリティ体制の成熟度に応じたサービスメニューを用意する
同社のサービスでは、ユーザー企業の「サイバーセキュリティ体制の成熟度」を「製品レベル セキュリティ対応」「セキュリティ ガバナンス整備」「更なる高度化 自動化・効率化」の3段階に分け、それぞれの段階ごとに複数の支援サービスをメニュー化している。単に製品に対して脆弱性診断を行えばよいというものではなく、設計段階からサイバーセキュリティを意識したデザインを行なうことから、ガバナンスの確立まで、企業文化の変革までをカバーするサービスメニューをそろえることで、その場しのぎに終わらない包括的な対策が実現できるだろう。