デロイト トーマツ リスクサービスは22日、総合的な医療機器サイバーセキュリティ対策の提供を開始した。

電子カルテを使った情報管理による業務効率化、体温計や血圧計から心電図、ペースメーカーなどデータのクラウド化によるタイムリーな診断や遠隔でのケア。先んじて医療IoTを進める米国では、ICU患者ケアに対する24時間体制によるモニタリングMercy health system(遠隔医療)が奏功していることも報じられている。医療においてもIoTのメリットは大きいようだが、当然セキュリティに関しても、リスクが懸念される。

デロイトトーマツリスクサービスが提供するサービスは医療機器メーカーや医療機関、医療提供団体などを対象とした総合的な医療機器サイバーセキュリティ対策となり、デロイトUSの医療サイバーセキュリティ専門部隊MeDSS(Medical Device Security and Safety)と連携し、医療サイバーセキュリティ対策が進んでいる米国規制への対応など各医療機器メーカーや医療機関の習熟度に応じたサービスを提供するものとなる。

具体的な項目では、以下の項目を主なメニューとして発表している。
1.医療機器製品セキュリティプログラムの成熟度評価
2. 医療機器製品セキュリティリスクアセスメント
3. セキュリティガバナンスモデルの確立支援
4. 医療機器製品テクニカルセキュリティテスト
5. 医療機器製品認可取得支援
6. 医療機器製品セキュリティプログラムの設計、開発、実装

サイバーセキュリティ体制の習熟度に合わせた各主サービスの概要(同社資料より)

同社によると米国では食品医薬品局(FDA/Food and Drug Administration)発行のガイドラインによる医療機器のサイバーリスク管理規制への対応が求められるなど、諸外国と比較しこの分野におけるサイバーセキュリティ規制が進んでおり、日本の医療機器メーカーが米国で事業を行う際の対応の遅れ、販売停止や回収といったケースや米国企業では脆弱性指摘による株価下落なども起きていることを指摘している。