COLUMN
医療機器のサイバーセキュリティでメーカーは何をすべき?
公開日:2025年11月26日
2023年4月、「令和5年厚生労働省告示第67号」によって、医療機器を開発する場合は、サイバーセキュリティへの対応が必須となりました。
本規制への対応の猶予期間は1年であり、2024年4月からはすべての医療機器メーカーでサイバーセキュリティ対策を踏まえた開発を行うことが求められています。
また、その活動記録をエビデンスとして残すことも必要であり、ソフトウェアやサイバーセキュリティに関する専門性の高いスキルが要求されている現状があります。
しかし、医療機器メーカーではハードウェア技術者を中心に体制が組まれていることが多く、ソフト面やサイバーセキュリティについては十分な対策が取れないことが少なくないために、サイバーセキュリティの対策についてお困りの医療機器メーカーも多いのではないでしょうか。
本コラムでは、医療機器メーカーが取るべきサイバーセキュリティ対策の内容、またそこに付随する課題について解説します。
サイバーセキュリティ対策で頭を悩ませている担当者様は、ぜひご覧ください。
医療機器にサイバーセキュリティへの対策が求められる背景
医療機器でサイバーセキュリティ対策が求められる背景には、現代社会、そして医療分野におけるインターネット関連技術の普及があります。
現代は、スマートフォンやパソコンを持つことが当たり前になり、もはやインターネットなしで生活することは不可能とすらいえる状況となりました。
しかしその一方で、サイバーセキュリティの観点でのリスクは年々高まりつつあるのも事実です。
実際、警視庁の発表では、2019年から2024年の6年間でサイバー攻撃関連の通信が倍以上に増えていることが示されています。
参照元:警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
これと同様の事態が、医療業界でも発生しています。
近年は医療機関もIT化が進み、医療システムや機器がクラウド化やIoT化されることが増えてきています。
しかし、医療機関のIT化が進み、インターネットに接続されるようになったことにより、ほかの業界と同じようにサイバーセキュリティの観点でのリスクが高まってしまったのです。
このリスクは、医療機関に導入される医療機器にも同様にあり、サイバーセキュリティの観点で、攻撃される可能性が高くなっているのです。
この事実を裏づけるように、過去に医療機器でも重大なセキュリティインシデントが発生しています。
2022年に米国の医療機関を対象に実施された調査では、輸液ポンプの75%になんらかの脆弱性、あるいはセキュリティアラートがあると明らかとなりました。
参照元:Palo Alto Networks「[2022-03-04 14:30 PST の内容を反映] 医療機関にセキュリティを: 調査対象輸液ポンプの75%に脆弱性かアラート」
また、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の資料でも、医療分野は、依然としてサイバー攻撃の主な標的でありつづけていると発表されています。
引用元:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社「2024セキュリティレポートp50」
このように、医療機関におけるサイバーセキュリティリスクは脅威として確実に存在しており、決して無視できるものではありません。
ゆえに、医療の現場で使われる医療機器にも、高いレベルのサイバーセキュリティが必要となるのです。
医療機器のサイバーセキュリティについての規制の動向
2014年に「サイバーセキュリティ基本法」が施行されて以降、国内でのサイバーセキュリティに対する取り組みが本格化し始めました。
この基本法の制定により、セイバーセキュリティに関する基本理念、および国や事業者などの責務が定められ、関連する事項に関しての規制が強化されたためです。
さらに2022年には、政府により「重要インフラのサイバーセキュリティに係る行動計画」が制定され、医療業界をはじめとする重要インフラ事業者に対して、サイバー防衛が義務づけられました。
医療機器に関しても、2020年にIMDRF(国際医療機器規制当局フォーラム)から「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」が発表されます。
このガイダンスは医療機器のサイバーセキュリティ対策に特化したもので、対策における原則とその実践方法、また医療機器関係者が考慮・遵守すべき事項が示されています。
本ガイダンスを導入するために、国内では2021年12月に厚生労働省から、医療機器製造販売業者向けに「医療機器のサイバーセキュリティ導入に関する手引書」が周知されました。
この手引書は、IMDRFガイダンスの要求事項を踏まえたうえで、医療機器メーカーが実際にどのようにして取り組みを行えばよいかを示しています。
さらに、2023年3月31日には「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準」、いわゆる「医療機器の基本要件基準」の改正が通知されます。
この改正により、先の手引書の内容も踏まえた対応が医療機器の基本要件基準に組み込まれる、つまり医療機器でのサイバーセキュリティの確保が義務づけられたのです。
では、改正により具体的にどのような対応が義務化されたのでしょうか?
医療機器の基本要件基準に追加された第12条第3項には、以下のような記載があります。
プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。
引用元:厚生労働省「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」
上記からわかる通り、追加された条文ではサイバーセキュリティ対策の方針は示されたものの、具体的な対応方法までは明示されていません。
この点を解消するために必要となるのが、同日に通知された「医療機器の基本要件基準第12条第3項の適用について」です。
この周知では、医療機器の基本要件基準の第12条第3項に対応するために、「JIS T 81001-5-1」を参照規格とするように、との共有がなされました。
つまり、このJIS規格への適合が、医療機器メーカーがサイバーセキュリティ対策としてまず実施すべきことであるわけです。
なお、医療機器の基本要件基準の改正は、2023年4月1日から適用されました。
その猶予期間は2024年3月31日までであったため、現在は第12条第3項への適合性の確認が必須となっています。
参照元:一般社団法人日本医療機器産業連合会「医療機器のサイバーセキュリティ導入に関する手引書(第2版)p5」
厚生労働省「医療機器におけるサイバーセキュリティについて」
厚生労働省「医療機器の基本要件基準第12条第3項の適用について」
JIS T 81001-5-1とは
ここからは、「JIS T 81001-5-1」についてより詳しく解説します。
JIS T 81001-5-1は、医療機器用のソフトウェアをはじめとするヘルスソフトウェアのためのプロセス規格です。
医療機器やヘルスケア全般の機器を製造する業者が、どのようにしてサイバーセキュリティ対策に取り組むかを規定しています。
もともと2012年の時点で、「JIS T 2304」という医療機器ソフトウェアを開発・保守する際のプロセスや要求に関する規格が存在していました。
この規格に沿って開発するうえで必要となる、サイバーセキュリティに関する取り組みを規定するために登場したのが、JIS T 81001-5-1なのです。
JIS T 81001-5-1にて定められているのは以下の内容です。
JIS T 81001-5-1の箇条4〜9および附属書F
| 箇条4: 一般要求事項 |
製造業者が品質マネジメントシステム およびリスクマネジメントシステムのもとで ヘルスソフトウェアを開発し保守すること、 そしてセキュリティに関して必要なアクティビティを規定。 |
|---|---|
| 箇条5: ソフトウェア開発プロセス |
ヘルスソフトウェアを開発する際に 必要なセキュリティ事項に関して規定。 |
| 箇条6: ソフトウェア保守プロセス |
ヘルスソフトウェアを保守する際に 必要なセキュリティ事項に関して規定。 |
| 箇条7: セキュリティに関連する リスクマネジメントプロセス |
医療機器のリスクマネジメントにおいて、 脅威モデリングにより脆弱性のリスクを特定し、 コントロールしたうえで、リスクコントロールの有効性を監視することを規定。 |
| 箇条8: ソフトウェア構成管理プロセス |
ヘルスソフトウェアに含まれる コンポーネントの構成管理について規定。 |
| 箇条9: ソフトウェア問題解決プロセス |
ヘルスソフトウェアに含まれる未知の脆弱性を常に監視し、 脆弱性発見時またはセキュリティインシデント 発生時の情報伝達および処理について規定。 |
| 付属書F: トランジションヘルスソフトウェア |
JIS T 81001-5-1に基づいて開発されていない すべてのヘルスソフトウェアへの対応について規定。 |
医療機器を開発する際には、上記の箇条4~9に示されている内容に準じなくてはなりません。
また、販売済みの医療機器に関しては、附属書Fトランジションヘルスソフトウェアに記載されている事項にしたがって適宜ソフトウェアのチェックおよび、改善を行い、JIS T 81001-5-1に適合した状態にすることが求められます。
参照元:医薬品医療機器総合機構「医療機器のサイバーセキュリティ要件に対するJIS T 81001-5-1の適用についてp21~22」
厚生労働省「医療機器の基本要件基準第 12 条第3項の適用に関する質疑応答集(Q&A)についてp2」2023
医療機器メーカーは何をすべきか
結果として、医療機器メーカーはどのような対応を取ればよいのでしょうか?
医療機器メーカーは、大前提として基本要件基準の12条3項へ対応しなくてはなりません。
そして基本要件基準第12条第3項への適合は、JIST81001-5-1への適合性をもって対応します。
したがって、医療機器メーカーは以下の事項に対応することが求められます。
医療機器メーカーに求められる対応
- 基本要件基準第12条第3項およびJIST81001-5-1の内容理解
- JIST81001-5-1のQMSを含む手順の構築
- 構築した手順に沿った医療機器の開発
上記の対応を行い、JIST81001-5-1に準拠した医療機器を開発することが必要不可欠となるのです。
また、2023年04月以前に、開発・販売された医療機器についても、すべて同様の対応が求められます。
要件を満たすように再開発することも可能ですが、リソースやコストの観点からほとんどの場合で現実的とはいえません。
そのため基本的には、先述した附属書Fにしたがってサイバーセキュリティの改善を図ることとなります。
サイバーセキュリティの改善とは、具体的に以下のようなことを指します。
サイバーセキュリティ改善策の一例
- ヘルスソフトウェアを部分的に改修、あるいは機能を追加する
- ファイアウォールの設置など補完的な対策を行う
- 取扱説明書を整備し、適切な運用方法や関連情報をユーザーへ提供する
ここまでの内容を参考に、JIST81001-5-1に準拠した医療機器を開発するための取り組みを進めていきましょう。
医療機器のサイバーセキュリティ対策なら富士ソフトにお任せください
繰り返しにはなりますが、JIS T 81001-5-1に準拠したサイバーセキュリティ対策は、すべての医療機器メーカーが対応すべき必須事項です。
しかし冒頭でも触れたように、ソフトウェアに関する知見のないメーカーでは、対応が難しいこともあるでしょう。
そのような状況でお困りのメーカー様におすすめなのが、富士ソフトが提供する医療機器サイバーセキュリティに関する各種サービスです。
まずご検討いただきたいのが、サイバーセキュリティの専門部隊と医療機器開発の専門部隊の連携により実現した、「医療機器サイバーセキュリティ支援サービス(JIS T 81001-5-1)」です。
このサービスでは、医療機器のサイバーセキュリティ導入に関する手引書、およびJIS T 81001-5-1に準拠したサイバーセキュリティ実現のための支援を提供しています。
医療機器サイバーセキュリティ支援サービス(JIS T 81001-5-1)のサービス内容
- コンサルティングサービス:サイバーセキュリティに関するQMS構築・規格への対応・法規制に対応するためのコンサルティング
- リスクアセスメントサービス:脅威モデリングを通じたリスクマネジメントを実施
- 脆弱性診断サービス:脆弱性試験と侵入試験を行い、脆弱性情報をレポート
- 静的解析サービス:セキュアコーディングの観点でのソースコードの静的解析
- SBOM作成サービス:ソースコードと関連文書を用いたSBOMの作成
- 脆弱性情報監視サービス:SBOMで管理するソフトウェアの定期的な監視、および最新の脆弱性の発見と通知
上記サービスによるサポートとともに、これまでに培ってきたノウハウも最大限に活用し、「サイバーセキュリティ対策として何をすべきなのか?」の方針を明確化いたします。
ご要望に合わせて提供するサービス内容を調整することも可能であるため、ぜひお気軽にご相談ください。
上記のほかに、附属書Fに基づいた既存製品への対応をサポートするための「トランジションヘルスソフトウェア適合支援パッケージ(JIS T 81001-5-1『附属書F』適合支援)」も提供しております。
このパッケージをご利用いただくことで、トランジションヘルスソフトウェアの適合対応へもスムーズに取り組むことが可能です。
トランジションヘルスソフトウェア適合支援パッケージのサービス内容
- リスクマネジメント:脅威モデリングを通じたリスクマネジメントを実施
- ソフトウェアシステム試験:脆弱性試験と侵入試験を行い、脆弱性情報をレポート
- SBOM作成:ソースコードと関連文書を用いたSBOMの作成
- 適合支援:トランジションヘルスソフトウェア適合に必要な文書のひな形提供・作成支援
- 申請支援:承認・認証申請資料のうち、トランジションヘルスソフトウェアに関連する資料の作成支援
- コンサルティング:トランジションヘルスソフトウェア適合のためのコンサルティングや、手順書の雛形提供、およびJIS T 81001-5-1全体のコンサルティング
なお、本パッケージにはラージ・ミディアム・スモールの3種類が存在します。
トランジションヘルスソフトウェア適合支援パッケージのパッケージ一覧
| タスク | ラージ | ミディアム | スモール |
|---|---|---|---|
| 手順書(QMS)作成 | ◯ | ‐ | ‐ |
| 適合宣言文書作成 | ◯ | ◯ | ‐ |
| ソフトウェアアイテムの特定・分類 | ◯ | ◯ | ‐ |
| リスクマネジメント | ◯ | ◯ | ◯ |
| ソフトウェアシステム試験 | ◯ | ◯ | ◯ |
| ソフトウェアバージョン・継続使用の根拠 | ◯ | ◯ | ‐ |
| 箇条6〜9への移行計画の策定 | ◯ | ◯ | ‐ |
| 更新しないコンポーネントの文書化 | ◯ | ◯ | ‐ |
| SBOM作成 | ◯ | ◯ | ‐ |
| 承認/認証申請資料の作成 | ◯ | ‐ | ‐ |
ご要望に応じて最適なタイプを提供いたしますので、こちらも一度ご相談ください。
医療機器サイバーセキュリティ支援サービス(JIS T 81001-5-1)はこちらから
トランジションヘルスソフトウェア適合支援パッケージ(JIS T 81001-5-1『附属書F』適合支援)
医療機器メーカーは、医療機器の基本要件基準に準拠したうえでサイバーセキュリティ対策を講じなくてはならない
今回は、医療機器のサイバーセキュリティ対策について解説しました。
医療機器がインターネットにつながるようになった今日、サイバーセキュリティ対策の重要度は増し、実際に医療機器の基本要件基準も改正されました。
各医療機器メーカーは、改正後の基本要件基準を満たすために、JIS T 81001-5-1に準拠した医療機器を提供しなくてはなりません。
とはいえ、ソフトウェアやサイバーセキュリティに関するノウハウがないメーカーでは、上記の対応も容易ではないでしょう。
そのような状況でお悩みであれば、ぜひ一度富士ソフトにご相談ください。
JIS T 81001-5-1に対応するためのコンサルティングや、附属書Fへの適合に特化した支援を提供いたします。
個別相談も承っております。下記よりお申し込みください。
