ITトレンドピックアップ
2024年9月20日

IoMTから医療DXへ。医療機器・医療情報システム開発におけるセキュリティ対策と法規制対応

昨今のデジタルトランスフォーメーション(DX)やIoT化の進展により、医療機器においてもハードウェアを中心とした製造・販売から、ソフトウェアへ軸足を移した製品開発へと急速に移行しています。これに伴い富士ソフトでは、昨今の医療機器・医療情報システム開発に欠かせない、「セキュリティ対策」と「各規制要求事項への対応」における変化に着目。本記事では、当社がどのように医療機器メーカーや医療情報システム提供者を支援し、医療業界のDXを推進していこうと考えているのかシステムインテグレーション事業本部 課長の伊藤 健、同事業本部 主任の降籏 信也に、詳しい話を聞きました。

富士ソフトのIoMT(Internet of Medical Things)化をサポートするトータルソリューションの特徴

医療機器・医療情報システムの開発・販売に必要となる、以下3つの領域すべてを支援できます。

  • 医療規格に準拠したシステム開発
  • サイバーセキュリティに関する一貫サポート
  • クラウドやIoTサービスに対する先進的な技術提供

富士ソフトは医療DXを推進するために、法令・規格・ガイドラインに精通した専門知識と実践的なスキルをご提供しています。現在、医療機器メーカー・医療情報システム提供者が直面する、さまざまな課題解決の支援をしています。

登場社員のプロフィール
  • 伊藤 健
    システムインテグレーション事業本部 インフォメーションビジネス事業部
    第2技術部 第1技術グループ 課長 / フェロー

    1997年富士ソフト株式会社入社。省庁向けの監視系システムや自治体向けのソフトウェア開発に従事。2012年大規模医療機器開発PJ、医療機器ソフトウェアの規制要求への対応を経験後、医療戦略を立ち上げグループの運営を行う他、医療機器ソフトウェアのコンサルティング業務や新たなサービスの構築に取り組んでいる。

  • 降籏 信也
    システムインテグレーション事業本部 インフォメーションビジネス事業部
    第2技術部 第1技術グループ 主任 / エキスパート

    2001年富士ソフト株式会社入社。組込システム等の開発に従事。2011年医療機器メーカー様に長期常駐となり、医療機器開発に長らく携わる。2014年医療機器ソフトウェアの規制要求への対応を経験。2020年には長期常駐作業で得た規制要求の知見を活かし、コンサルティングを経験。その後、規制要求の変化に合わせてコンサルティングの幅を広げている。

IoMT化で医療が進化する一方、高まるセキュリティリスク

IoMT化 イメージ図

近年、医療業界ではIoMTの導入により、インターネットに接続される医療機器やシステムが急速に増加しています。これにより、医療情報のリアルタイム共有や遠隔診療の実現など、多くのメリットがもたらされています。しかし、その一方でサイバー攻撃のリスクも増大しており、医療機器や医療情報システムのセキュリティ対策がこれまで以上に求められるようになりました。サイバー攻撃によってそれらが不正操作された場合、患者の安全が脅かされるだけでなく、医療機関や医療機器メーカーに対する信頼性にも重大な影響を与えかねません。

そのような背景から、2023年4月には薬機法に紐づく、基本要件基準が改正され、サイバーセキュリティ対策が義務化されました。そうしたなか、医療機器メーカーなどの多くは、セキュリティに関する法規制の解釈、システム的な観点からリスクを回避する具体的な施策や文書への落とし込みに困っている印象です。

なお、セキュリティ対策は、クラウド、オンプレミスと環境を問わず重要です。たとえクローズドなネットワーク環境であっても、各種トラブルが発生しています。セキュリティ規格(JIS T 81001-5-1)では、LANやBluetooth、USBなど、他の機器と接続するインターフェースを持つ医療機器はすべて対象と定義されており、インターネットの接続の有無を問わずセキュリティ対策が必要です。ふとした思い込みや認識違いが、脅威にさらされるきっかけとなってしまうのです。

法規制に準拠したソリューションで、医療ビジネスの発展を支援

「医療情報システムを医療機関に販売したいが、ガイドラインに準拠しているかどうか分からない」
「法規制の準拠に向けて対応を行っているが、ノウハウがないためサポートをして欲しい」

このような相談を医療機器メーカー・医療情報システム提供者からいただきます。では、セキュリティ対策や規制要求に対し、どのように対応すれば良いのでしょうか。ここからは当社のソリューションとその特徴について説明します。

JIS T 81001-5-1に対応したサイバーセキュリティ支援サービス

前述したサイバーセキュリティの義務化の対象には、新たに開発を行う医療機器だけでなく、既に販売された製品も含まれます。こうした状況のなか、当社はJIS T 81001-5-1のセキュリティ規格に対応したサイバーセキュリティ支援のパッケージ「医療機器サイバーセキュリティ支援サービス」をリリース。このサービスでは、セキュリティに関するQMS(Quality Management System)構築や規格対応へのコンサルティングから、診断・監視といった実作業・運用までを支援しています。

医療機器サイバーセキュリティ支援サービス イメージ図

本サービスは、一般的なセキュリティサービスと同様の、攻撃者の視点で脆弱性を調査する「脆弱性診断サービス」に加えて、医療機器の法規制に準拠した形でサービス提供ができているかの分析も行える点が特徴です。つまり、本サービスを利用することで、医療機器メーカーは、法規制を準拠したサービスの提供が可能になります。

また、セキュリティ規格においては実施すべき内容の記載はあるものの、具体的な打ち手や手法の詳細が示されていません。そのため、開発を行う中での手順や流れを決定する際、「法規制をどう解釈して、何を実施すればよいのかわからない」という悩みを持つ医療機器メーカーが多くいらっしゃいます。そのような悩みに対して当社では、過去の経験に基づいて要求事項をクリアする基準をご説明しながら、どのレベルまで安全性を担保すべきか顧客とすり合わせたうえで支援を行います。当社は、セキュリティ規格に対する解釈力と解釈を実行に移す技術力を強みに、寄り添った支援をさせていただいています。

実際に「医療機器サイバーセキュリティ支援サービス」を導入いただいたお客様からも、ありがたいことにこのような評価をいただいています。

住友重機械工業株式会社様インタビュー
  • 白澤 克年 氏
    産業機器事業部 医療・先端機器統括部 設計部 電気制御グループ
    課長

――導入の背景についてお聞かせください。

白澤(住友重機械工業):法規制(JIS T 81001-5-1)に対応する必要が出てきたため協力会社を探していたのですが、産業機器事業部内にはサイバーセキュリティに特化した人材が少なく、リソースの問題もあったので外部委託を検討していました。

――実際にサービス導入をしてみて、どのような効果を実感していますか。

白澤(住友重機械工業):自社のみで対応を進めていても、「規格」を読んだだけではどこまでの範囲に対応したらよいのか判断出来なかったため、解釈を助けてもらえて非常に助かりました。 特に、判断が悩むポイントについては、他社さんの取組み状況などを交えてアドバイスをいただけたので非常に安心感がありました。富士ソフトは工程管理もしっかりしており、仕事が早く柔軟に対応してもらえたので、遅延することなくプロジェクトが進行できました。

――富士ソフトを選定したポイントをお聞かせください。

白澤(住友重機械工業):社内の別部署からの紹介があり、3社検討した内の1社でした。中でも、富士ソフトのサービス内容(プレゼン含め)が信頼できそうだと感じたため依頼を決めました。提案時点から積極的に様々な手法や提案をしてくれた点、開発部門を社内で抱えていることで、開発経験者の目線でサポートしてもらえる点、伊藤さん・降籏さんのお話から、しっかりとした開発経験や実績などが感じられたことがポイントでした。

3省2ガイドラインへの準拠を支援

医療情報を取り扱うシステムにおいては、厚生労働省・経済産業省・総務省から公開されている以下のガイドラインへの準拠が求められます。

【3省2ガイドライン】

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン」
  • 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
3省2ガイドライン イメージ図

医療情報システム提供者にとって重要なのは、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」です。しかし、医療機関関係者が携わる部分も含んだうえで医療情報の保護に求められる全指針に対応するためには、結果的に「医療情報システムの安全管理に関するガイドライン」まで含めた理解とセキュリティ対策が必要になります。

当社が提供する「3省2ガイドライン対応支援コンサルティングサービス」では、医療情報を安全に取り扱うためのリスクマネジメントプロセス手順書など、ガイドラインの準拠に必要となる各種文書のひな形提供から文書作成、コンサルティングまでをサポートしています。ガイドラインが要求する文書は複数にわたり、作成に時間がかかるものが多いのですが、当社のサービスをご活用いただくことで準拠に向けた取り組みを効率的に行うことが可能です。

3省2ガイドライン対応支援コンサルティングサービス イメージ図

本章では、「医療機器サイバーセキュリティ支援サービス」と「3省2ガイドライン対応支援コンサルティングサービス」の2つのサービスを紹介させていただきました。これらを活用することで、セキュアでガイドラインに準拠した製品を提供することが可能になります。当社のサービスが医療業界全体の安全性と信頼性を向上させることに、つながっていけば幸いです。

IoMT化とその先の医療DX推進のパートナーへ

今でこそ、当社は「規制要求+IoT・クラウド技術+セキュリティ」という3領域への強みを生かしてIoMT化のトータルサポートを行っていますが、もちろん当初から医療機器メーカー・医療情報システム提供者へ向けて、包括的なソリューションを提供できていた訳ではありません。

IoMT化のトータルサポート イメージ図

私たちは、過去に医療機器開発に関わったことで蓄積したノウハウを活用すべく、2016年に医療領域に特化したソリューションの提供をスタートしました。初年度は医療機器メーカーなどに興味を持っていただくことができず厳しい結果でしたが、医療機器ソフトウェアの規格IEC 62304に対応することへの高いニーズを肌で感じられたのは大きな収穫となりました。そして、翌2017年には規制要求に知見を持つコンサル企業と連携し、複数の医療機器メーカーなどをご支援することができました。IEC 62304に関するノウハウ強化のほか、医療業界の一般知識やトレンド情報の収集が実を結んだ年となりました。

さらに、2019年には世界的な医療機器のIoT化が加速するなか、日本国内においても厚生労働省が国家施策である「データヘルス改革の推進」に多くの予算を確保。この頃から、IoMT化というキーワードを耳にするようになりました。

そして、「セキュリティ対策」と「各規制要求事項への対応」という、医療ビジネスを取り巻く2つの変化に早くから着目し、独立系SIerとして培ってきた技術スキルを結び付けたことで、当社独自のIoMTトータルソリューションを立ち上げることができ、多くの医療機器メーカーなどのご支援ができるようになりました。

今後も、医療機器はハードウェアからソフトウェアへ軸足を移していくなか、IoMT化は医療DXという、より大きな概念に置き換わりつつあり、徐々に浸透しています。昨今では、患者さま自身が利用するスマートフォンアプリを介して医療行為を支援するDTx(デジタルセラピューティクス)も注目を集めています。国内ではニコチン依存症の治療アプリが禁煙外来で処方されているほか、海外では小児ADHDの患者さまに向けてゲーム形式で治療を提供するなど、疾病の予防や治療に役立つ革新的な取り組みがすすめられています。他方では、セキュリティ対策に対する要求がさらに高まることも予想され、市場動向の把握とともに時代に適したサービスの提供が必要になると感じています。

富士ソフトは、IoMT戦略のパートナーとして、安全で効果的なサービス開発を通じ、医療機器メーカーや医療情報システム提供者とともに、医療DXを推進していきます。