医療機器のセキュリティ規格「JIS T 81001-5-1」に準拠した試験を実施

「医師をつなぎ 医療格差をなくす」というミッションを掲げ、医師向けライブ配信プラットフォーム「e-casebook LIVE（イーケースブック・ライブ）」と遠隔医療支援システム「Caseline（ケースライン）」の2つの事業を展開している株式会社ハート・オーガナイゼーション様。今回は、医療機器であるCaselineシステムにおいて、JIS-T81001-5-1:2023（IEC 81001-5-1:2021）の脅威軽減試験、脆弱性試験、侵入試験をご依頼いただきました。

薬機法の改正によりセキュリティ対策が必須に

医療機器を開発販売する当社は、法令を遵守する責任があるため、厚生労働省の規定に基づき、さまざまな対策を講じなければなりません。今回、試験を受けたきっかけは、IMDRFガイダンス（国際医療機器規制当局フォーラムが発行した「医療機器サイバーセキュリティの原則及び実践」）（※1）を踏まえ、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加され（※2）、新規格「JIS T 81001-5-1」に準拠した対応が求められたためです。

対応は必須であるものの、前例がなくどう取り組んでいいかわからないことが課題でした。複数社に相談した結果、脆弱性診断やペネトレーションテストに関する豊富な経験と実績を持つGMOサイバーセキュリティ byイエラエにご依頼しました。

※1　IMDRF(2020). Principles and Practices for Medical Device Cybersecurity
https://www.imdrf.org/sites/default/files/docs/imdrf/final/technical/imdrf-tech-200318-pp-mdc-n60.pdf

※2　厚生労働省(2023)「医療機器基本要件基準告示改正の施行通達」
https://www.mhlw.go.jp/content/11120000/001167157.pdf

複数のテストを組み合わせた試験

感想としては「JIS T 81001-5-1」の規格に合わせた具体的な提案をいただけたのが良かったです。脅威モデリングで、発生した場合にリスクが高い脅威を可視化し、脆弱性診断やペネトレーションテストの結果を紐づけて脅威ごとのサイバー攻撃対策度を分析するという複数のテストを組み合わせた試験を実施いただきました。

また何か質問等したときのレスポンスが非常に早くて大変助かりました。報告内容も分かりやすく、対策案が参考になりました。サイバーセキュリティに対する理解がより深まったと感じています。

弊社の医療機器は診断に関わる医療画像を病院間でやり取りするものです。患者様の体に直接触れるものではありませんが、患者様の健康に影響を及ぼす可能性を少しでも下げられるように気を付けなくてはならないと考えています。サイバーセキュリティに関する取り組みをより一層強化していきますので今後もよろしくお願いします。