「医療機器におけるサイバーセキュリティの確保について」という文書がでています。
(https://www.pmda.go.jp/files/000204891.pdf)
スケートボードの脆弱性分析が好評だったようですが、この文書も実は同じ意味をもっているように思います。
ここで、この文章の「サイバーセキュリティ」への論じ方だけをみて、記述として関心のレベルが、まだ、本格的なものになっていないよねという見方も一つの見方だとは思います。
ただし、これは、発行しているのが、PMDA(医薬品医療機器総合機構)というところである、というところに重点をおいてみることができます。PMDAの役割を見ると、自動車の安全性における(独)交通安全環境研究所リコール技術検証部かなと思います。
医薬品医療機器等法は、「危害の防止」(同法68条の9)で医療機器又は再生医療等製品の使用によつて保健衛生上の危害が発生し、又は拡大するおそれがあることを知つたときは、これを防止するために廃棄、回収、販売の停止、情報の提供その他必要な措置を講じなければならない。そして、その危害防止のために回収を行った場合には回収に着手した旨及び回収の状況を厚生労働大臣に報告しなければならない(「回収の報告」(同68条の11)という立て付けになっています。
ソフトウエアとの関わりと医療機器との関係は、こんな感じになります。
| ソフトウエアの活用されている 医療機器 | 許認可 | 審査機関 | |
| クラスⅢ(高度管理医療機器) | 手術用ロボット | 承認 | PMDA((独)医薬品医療機器総合機構) |
| 放射線治療シミュレータ | |||
| クラスⅡ(高度管理医療機器) | MRI装置 | 承認または、認証 | PMDAまたはRCB(第三者登録認証機関) |
| CT装置 | |||
| X線診断装置 | |||
| 超音波画像診断装置 など | |||
| クラスⅠ(一般医療機器) | 画像診断用イメージャ(CRなどのデジタル画像を取り込んでフィルム上で再生) | 届出 | 自己認証 |
| 血球計数装置 | |||
| 血液検査機器 | |||
| その他(非医療機器) | Personal Health record システム | ||
| 電子カルテ | |||
| 医事会計システム |
でもって、このような枠組みのなかで、「サイバーリスクについても既知又は予見し得る危害としてこれを識別」する(上の書類の「基本的な考え方」の表現で、脆弱性が、PMDAの心配する管轄にはいるよ)という宣言と読んでいます。すると、スケートボードで、人がけがしても、脆弱性は、うちらが、やりますよ、というJVNのアナウンスのカウンターパートだよね、という見方もできます。
このように考えると「保健衛生上の危害が発生し、又は拡大するおそれ」となるのは、いつ、どのように評価するべきなの、というのが、これからの問題になりますね。このような分析を、IoTのTごとにみていかないといけない、ということになるかと思います。
