製品概要
【IMDRFガイダンスを活用したセキュリティアセスメントサービス】
NRIセキュアは、グローバル基準としてIMDRFガイダンスで医療機器製造販売業者に求められる要件を用い、医療機器のセキュリティ対策状況を第三者的な立場で網羅的・横断的に可視化します。さらに、 セキュリティリスク評価のみならず、具体的な対策に踏み込んだ提言や、セキュリティ対策に関わる中長期のロードマップ作成支援を行うことも可能です。これらのご支援により、お客様の薬機法準拠をサポートします(*1)。
また、オプションとして、IMDRFガイダンスに加えて、医療機器基本要件基準の準拠にあたり厚労省が対応を求めるJIS T81001-5-1に沿ったリスク評価や対策提言も実施可能です(*2)。
(*1)本サービスは、お客様及びお客様の製品の薬機法準拠を保証するものではありません。
(*2)薬機法への対応として、厚生労働省はJIS T81001-5-1やJIS T2304に沿った対応も求めています。本サービスのみで薬機法に遵守できるものではありません。
【IMDRFガイダンスについて】
IoTやAI、ICT技術を始めとするデジタル技術とデータの活用が進む現代、医療業界でもこれらのテクノロジーを活用した医療技術の誕生や医療データの連携の取り組みが進み、医療機関では最新の医療機器が多く使用されています。一方で、医療機関を狙ったサイバー攻撃等の事例も多く報じられており、医療機器を起因とした事例も見られます。
医療機器に関連したセキュリティガイダンスは、これまで各国が公表していましたが、2020年、IMDRF(国際医療機器規制当局フォーラム)が医療機器のセキュリティガイダンスとして「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」を公表しました。医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスとして今後の各国の規制要件への取り込みや参照が想定されたこともあり、各国で関心が向けられました。
日本でも、厚生労働省がIMDRFガイダンスを日本に導入することを発表し、検討を進めていました。2021年には、IMDRFガイダンスの技術基準などを明確化した、医療機器製造販売業者向けの「医療機器のサイバーセキュリティ導入に関する手引書(以下、手引書)」を発表し、これらを踏まえた以下3つの観点が2023年4月から薬機法(「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」)の医療機器基本要件基準に盛り込まれました。
1.製品の全ライフサイクルに渡って医療機器サイバーセキュリティを検討する計画を備えること
2.サイバーリスクを低減する設計及び製造を備えること
3.適切な動作環境に必要となるハードウェア、ネットワーク、IT セキュリティ対策の最低限の要件を設定すること
IMDRFガイダンス及び手引書では、患者への危害が発生する可能性のあるセキュリティリスクに限定し、製品のライフサイクル全体に沿って多方面からのセキュリティ対策要件が整理されています。
特徴
■お客様に選ばれる理由
【1.医療分野のサイバーセキュリティ専門家によるコンサルティング】
NRIセキュアは、長年にわたり医療機器を含む医療分野のサイバーセキュリティコンサルティングサービス*3を提供しています。本サービスでは、医療機器のサイバーセキュリティに関する豊富な知見・経験を有し、上記ガイダンスについて精通している専門家が、ガイダンスが求める要求事項の理解に基づき、正確な対応状況評価と実効的な対策提言を行います。
【2.実施すべきセキュリティ対策の優先度付け】
現状の準拠状況評価の結果をもとに導き出されるセキュリティ対策について、リスクの「即時性」「影響度」に基づき実施すべき優先度を設定し提示します。また、それぞれの企業に必要なセキュリティレベルを、"最低限対策すべきレベル"や"本来目指すべき対策レベル"などの形で提示することも可能です。
【3.準拠状況評価後の改善対策実行までの継続支援が可能】
NRIセキュアでは、製品セキュリティ開発プロセス構築支援やインシデント対応態勢の構築支援など、ガイダンスの要求事項への対応を確実に実現するためのサービスを幅広くご提供しており、ガイダンスに準拠するための対策実行支援までを一気通貫でご支援することが可能です。セキュリティ対策の各種製品の導入プロジェクトを個別に支援することも可能です。(いずれも別料金)
(*3)
・医療分野におけるサイバーセキュリティ対策調査一式(厚生労働省)
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(案)の修正作業(総務省)
・医療情報ガイドライン準拠支援(多数企業様)
・医療機器サイバーセキュリティ推進支援(多数企業様)
・院内セキュリティ推進支援(医療機関様)
■サービスの流れ
【STEP1 現状課題の把握と課題導出の支援】
IMDRFガイダンスを基に作成した独自のセキュリティアセスメントシートを使用し、ヒアリングを通じて医療機器製造業者の対応状況を整理します。整理した情報から、他社事例やセキュリティの知見を用いて網羅的な課題導出を支援します。
【STEP2 対策優先度の提示】
現状課題を踏まえて追加で実施すべき対策を、各対策の優先度検討と合わせて整理します。最新の脅威動向・傾向を踏まえて、事業者の環境・状況に応じた対策の優先順位付けを行うことが可能です。
【STEP3 簡易ロードマップの提示(オプションサービス)】
評価結果を元に、時間軸に沿って簡易的なロードマップを策定します。事業者の要望や課題に応じて最適かつ、実効性のある方法で対策を実行できるよう進め方を検討します。
【STEP4 最終報告】
さいごに、第三者およびセキュリティの専門家の視点から、アセスメント結果を整理し、対象機器におけるリスクや対応策、ロードマップについて経営視点から提言をまとめ、報告します。
NRIセキュアでは、本サービスのほかに、製品セキュリティ開発プロセス構築支援や、セキュリティインシデント対応態勢の構築支援など、ガイダンスの要求事項への対応を確実に実現するためのサービスを幅広く提供しています。セキュリティ対策の各種製品の導入プロジェクトを個別に支援することも可能です。
■料金
個別見積もり
対象とする医療機器の構造や販売形態、オプションのご支援ご希望有無などにより、お見積りが変動いたします。
詳細については、以下よりお気軽にお問い合わせください。