2021年12月に厚生労働省から「医療機器のサイバーセキュリティ導入に関する手引書」 (以下、「手引書」) が公開された。手引書は2020年5月に公開された「国際医療機器規制当局フォーラム (IMDRF) による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について」を踏まえ、国内向けにIMDRFガイダンスを適用するためのベースラインとして整理されたものである。2023年には本観点より薬機法の改正についても検討が進められており、本手引書に基づく医療機器のサイバーセキュリティ確保は医療機器事業者にとって喫緊の課題となっている。
　国内では医療分野の技術革新 (DX) や現場ニーズの多様化に伴い、従来のような分かりやすい医療機器 ( Hardware as a Medical Device) が少なくなっている一方で、ソフトウェア医療機器 ( Software as a Medical Device) に加え、医療機器には該当しないが機器との連携機能を持つ医療IoT機器や医療情報システムも台頭し、機器/システム間の機能連携による医療機器サービスを提供することはすでに一般化しはじめている。
　手引書に基づき医療機器のサイバーセキュリティ対応を仮に図ったとしても、該当機器がIoT機器や医療情報システムとの連携を含めた製品である場合、これらにはいわゆる「3省2ガイドライン」 (厚生労働省:「医療情報システムの安全管理に関するガイドライン / 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」) に基づく対応もあわせて求められることになる。このように医療機器を構成するコンポーネントによって、コンプライアンスとして企業が対応すべきサイバーセキュリティ要件も動的に変容するため、こうした内容を正確に把握したうえで、適切な対応を行うことが今後求められることになる。
　本講演では、まずは薬機法改正においてベースになると想定される「医療機器のサイバーセキュリティ導入に関する手引書」が求めるサイバーセキュリティ要件について、IMDRFガイダンスを交え解説するとともに、これらの医療機器に近接するIoTや医療情報システムを対象に考えるべきサイバーセキュリティ要件を「3省2ガイドライン」を中心とした観点より解説する。
　これらを通して、医療機器/医療IoT/医療情報システム等、医療サービスを構成する機能領域の組み合わせのなかで求められるサイバーセキュリティ要件をユースモデルに応じて概略的に整理する。
　これらを通して、企業が提供する医療サービスに求められる要件に合理的、つまり過剰/過小に陥らず、患者診療の継続性の確保に向けて実施されるべき、医療機器 / IoT / 医療情報システムに一貫するサイバーセキュリティ管理態勢を確保するうえで、検討すべき必要なポイントを提示する。

1. 医療機器サイバーセキュリティの考え方
   1. 医療機器のサイバーセキュリティ導入に関する手引書
   2. IMDRFサイバーセキュリティガイダンス
2. 医療情報システム/医療IoTに求められるサイバーセキュリティ要件
   1. 具体的な要件 ~「3省2ガイドライン」を中心に
   2. 手引書の要件との共通ポイント
3. ユースモデルに応じた医療機器のサイバーセキュリティの検討範囲
   1. 医療機器のみのモデル
   2. 医療機器 + 医療IoTのモデル
   3. 医療機器 + 医療IoT +医療情報システムのモデル
4. まとめ
   • 医療機器/ 医療IoT/ 医療情報システムを通貫するサイバーセキュリティ管理態勢のポイント
5. 質疑応答