医療分野におけるセキュリティの動向について調べた話をまとめてみた

2020年5月22日 10:01

もう1か月が経ちましたが、H3（Healthcare Hackathon Hub）が主催する勉強会「医療情報セキュリティ超入門」に参加しました。

デジタルヘルス・セキュリティのそれぞれの領域でライターとして記事制作に関わっていることもあり、（できれば事業会社の実務で関わるようになりたい）

医療機器×サイバーセキュリティのセミナー来た。後で感想などnoteに書く予定 pic.twitter.com/wbBS32VzzZ
— テクノ大仏@医療IT×知財（神戸在住） (@tech_nomad_) February 19, 2020

2月にも医療機器×セキュリティに関するセミナーに参加してました。結局感想note書いてない…（今回のnoteに内容盛り込むので許されたし）

今回は、セミナーの内容をまとめるというよりは、この機会に医療機器×セキュリティについて情報収集したものも加筆しつつ、自分の中で頭の中を整理してみようと思います。

このnoteを読んで「医療×セキュリティの概要がわかる！」というよりは、「本格的に勉強するときに読む資料まとめ」を自分用に作ったのを共有したと思ってもらえれば幸いです。。

※H3主催者の木村さん（@ryosukick）が詳細なレポート書いてるので、今回のH3内容知りたい！って方は、そちらをご覧ください。

医療分野×サイバーセキュリティの現状

2019年8月に開催されたハッカーカンファレンス「DEF CON」には、本物そっくりの“病院”「Medical Device Village」が設置されました。この病院をハッカーたちに攻撃してもらうことで、医療機器のセキュリティ向上に役立てることが目的だったと言います。

「安全かつ制御可能な手法でテクノロジーを導入する業界として、医療業界は最後発ではないでしょうか」と、この施設を統括するヘルスケアセキュリティ研究者のニーナ・アッリは言う。「なにしろ医療機器メーカーは、これまでずっとDEF CONには来ようともしませんでした。それが、研究者との協力に対してオープンになったのです。医療機器メーカーは、いきなり脆弱性を知らせるメールを送りつけられかねない事態を目前にして、これならハッキングコミュニティとの関係を構築すべきだと気づいたのです」
引用：その本物そっくりの“病院”は、ハッキングされるためにつくられた──医療機器のセキュリティ向上に向けた試み

DEF CONで開催された医療機器×セキュリティに関するセッション動画

AI医療機器に関するセキュリティの話も盛り上がってます。

データに人間が判別できないノイズを加えると、AIによる分類結果を狂わせることができるという記事の紹介

医療機関へのサイバー攻撃がきっかけとなり患者が死亡するケースや、

医療情報が売買されるケースも出ています。売買されたデータで偽のIDを作って医薬品を購入、保険金を請求したり、患者の名前で融資を受けたりするケースがあるとのことです。

Each year, hackers steal thousands of medical records from hospitals and health organizations, and many of those records eventually end up being sold on the darknet for thousands of dollars.
（毎年、ハッカーは病院や医療機関から数千の医療記録を盗み、それらの記録の多くは最終的に数千ドルでダークネットで販売されることになります。）
引用：What hackers actually do with your stolen medical records

こういった動きを受けて、ヘルスケアセキュリティを手掛けるスタートアップが資金調達をしていたり、

日本国内だと、AI問診サービスなどを手掛けるUbieがセキュリティ責任者の募集を開始したりしています。

COVID-19対策サービスや海外事業など、事業を急拡大させているUbieでは、事業の拡大と安心/安全の担保を両立できる情報セキュリティ責任者を募集しています

事業が新たなフェーズに入っており、ワクワクできるタイミングだと思うので、ご興味あればぜひご連絡くださいー！https://t.co/uVcyzVUuJG pic.twitter.com/SpOSDNkrJA
— 森うどん | Ubie (@moriudon0626) May 13, 2020

いよいよホットな領域だなという感じで、個人的には医療機器の薬事承認にもセキュリティ要件が入ってきたりするのかなと思ってます。厚労省からも関連するガイドラインぽいのが出ているので後で読まねば…

・「医療機器におけるサイバーセキュリティの確保について」平成27年4月28日薬食機参発0428第1号、薬食安発0428第1号

・「医療機器のサイバーセキュリティの確保に関するガイダンスについて」平成30年7月24日薬生機審発0724第1号、薬生安発0724第1号

日本医療機器産業連合会（医機連）からもQ&A資料が出てました。

・医療機器のサイバーセキュリティに関する質疑応答集（Q&A）2019年3月26日

2月に参加したセミナーで紹介されていたIMDRF（International Medical Device Regulator Forum）の資料も共有します。医療機器のサイバーセキュリティについて、「一般原則」「市販前の考慮事項」「市販後の考慮事項」の観点ごとに整理されてるのが特徴的です。

・Principles and Practices for Medical Device Cybersecurity（2020/3/18）

医療業界を貫く情報共有団体が日本にはない

H3の話のなかで「日本には医療業界を貫く情報共有団体（ISAO/ISAC）がない」という話がありました。

H3-MoM_H³ 第32回：医療情報セキュリティ超入門_20200430　より引用

ビジネスでは競合している状態であっても、サイバーセキュリティを脅かすハッカーへの対応などについては、一致団結して対応することが望ましいです。

この考え方は自分が普段関わってる特許業界でも普及しているもので、PAEs（パテントトロール）に対抗するために、グーグル・マイクロソフト・IBMなど、ビジネスでは競合する企業同士が業界団体を形成したりしています。

米国には医療業界の中にも複数の情報共有団体が存在しており、

NIST（アメリカ国立標準技術研究所）は、実際の医療機器を想定したセキュリティレポートを複数制作しています。

2月のセミナーで紹介があったレポート事例は、

・医療機関における無線輸液ポンプシステムのセキュリティ対策に関するレポート
・輸液ポンプやシリンジポンプの製造メーカー、ネットワーク接続機器メーカー、セキュリティ関連会社、電子証明書発行機関などの技術者が集まってベストプラクティスを分析し報告

しているとのことです。これもまだ読んでないから読まねば…

NISTが出してるレポートは下記ページにまとまっているので、medicalとかで検索すると他にもいろいろ出てきます。

デジタルヘルスは「それだけで閉じることはできなくなる」

セミナーの中でもう1つ印象的だったのが、「さまざまな分野のサービスが統合・連結されていき、その技術基盤が共通化・相互運用性が求められるようになる」という話。

東南アジアのメガアプリ『Grab』と中国の医療アプリ『Ping An Good Doctor』との連携。
※H3-MoM_H³ 第32回：医療情報セキュリティ超入門_20200430　より引用

医療の領域で求められる強固なセキュリティ体制（「医療はインフラ」という言葉で、講師の吉澤先生が繰り返し強調していました）とはレベル感の違う分野のサービスとの連携が求められるようになっていきます。

他領域の技術基盤やデータ管理・運用体制とレベル感を合わせつつ、守るべきところは確実に守る。そういう意識が重要になっていくように感じました。

「テクノロジーに詳しくない、では済まない」時代に

上記にも関連してですが、テクノロジーの動向についていく重要性を改めて感じました。

特許の仕事をしていても、案件そのもの以前にクライアントの開発環境や技術基盤の話ができないとスムーズなコミュニケーションができないように感じていて、プログラミングの勉強を始めました（昔はエンジニアやってましたが、それこそ技術基盤が違いすぎて…クラウド・コンテナ・マイクロサービスなどなど）

AI、クラウド、API、OSSみたいな技術分野でのトレンドに対して、

知財面とセキュリティ面でどういう変化が起こるのか

を整理していって

技術のトレンドが各業界（医療機器など）に取り込まれていくときのサポートができる、みたいな形を目指す感じ

サポートには他専門家の紹介も含む
— テクノ大仏@医療IT×知財（神戸在住） (@tech_nomad_) May 12, 2020

技術的な構成を整理して、レイヤーごと・要素ごとに議論を詰めていかないといけないなと感じてます。特許業界でも「その処理がエッジで行われるのか、クラウドで行われるのか」みたいな議論は当然できなければいけなくて、もっとテクノロジーに対する手触り感を上げていかないと厳しい時代が来るなとひしひし感じております。

そういう観点から、講師の吉澤先生がリストアップした、読んでおくべき各種ガイドラインのリスト。医療とは関係なく、IoTやエッジコンピューティングなどまで含めた広義のデータセキュリティに関する取り扱いを示した経産省のCPSFなども入っており、相対的にグローバルスタンダードに近いと話していました。

・サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）を策定
・「医療機器のサイバーセキュリティの確保に関するガイダンスについて」平成30年7月24日薬生機審発0724第1号、薬生安発0724第1号
・重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針（第5版）
・医療情報システムの安全管理に関するガイドライン　第5版（平成29年5月）
・「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見を募集

患者安全にはユーザビリティも重要

ここはH3の勉強会では出てこなかったですが、2月のセミナーで感じたこと。悪意を持ったハッカーなどへの対策だけでなく、悪意のない医療従事者が事故を起こさないためにはユーザビリティも重要という話。広義のセキュリティといってもいいかもしれない。

今回のセミナー、ユーザビリティに関する整理や市販前・市販後の切り分けなど、頭の整理に使えるフレームワークがいろいろ紹介されててありがたい pic.twitter.com/HkvSBGKyLv
— テクノ大仏@医療IT×知財（神戸在住） (@tech_nomad_) February 19, 2020

この資料は概要がざっと分かってめちゃくちゃ分かりやすいです。資料作成日が書いてなくて、IEC/ISO 62366：2007を参照してたりするのでちょっと古い情報が混ざってるかもしれません。

・IEC/ISO 62366　医療機器のユーザビリティー

詳しく知りたいときはこちらが参考になりそうです。

・IEC62366-1を元にしたJIS T 62366-1:2019

ドラフトの状態であればこちらで無料で見れます。上記リリース版との差分は確認してないので、その点は理解して概要をつかむ目的で読むにはいいと思います。

・JIS T 62366-1:2019ドラフト案

参考：H3（Healthcare Hackathon Hub）について

分野横断的な知識が必要となるデジタルヘルスの領域で活躍する人を増やすために、「ビジネスの専門家」「デジタルの専門家」」「ヘルスケアの専門家」が集まって、各分野の基礎的な知識を学ぶ回です。

H3 INTRODUCTORY DECK_20200401　より引用

5月は「ヘルスケアAI超入門」（既に終了）、6月は「医療経営のリアル（6/18）」です。気になる方は下記ツイッターをフォローするとよいと思います！

サポートいただいた分は下記にまとめた本を読んで還元したいと思います！デジタルヘルスケア　https://is.gd/4XCPtN スタートアップ×知財　https://is.gd/KHV8G8 中国スタートアップ　https://is.gd/KG2zcF