今こそ法規制やガイドラインを再確認！医療機関・医療機器のセキュリティ対策セミナー

今日ではあらゆる業界においてサイバーセキュリティに対する規制圧力が高まってきていますが、その中でも特に医療機関や医療機器業界は人命に関わるようなクリティカルなシステムや機器を扱う性格上、対策が強く求められる業界の一つです。改正薬機法の施行と厚労省ガイドライン最新版発行から約2年経過することもあり、改めてどのような対策が必要なのか、規制やガイドラインで求められている取り組みを確認してみましょう。 本セミナーでは医療業界の国内外の法規制や標準、ガイドラインに関する解説のほか、どのような対策が規制対応のために必要とされるのかと、その具体的なソリューションや取り組みについてもご説明します。 セッション1: ベンダー任せにしない、医療機関が直ちに取り組むべきセキュリティ対策 株式会社電通総研 コンサルティング本部マネージャー 高橋 淳史様 2025年から本格的に、高齢者の増加や医療従事者の不足による医療体制の維持が深刻化することが懸念されています。医療DXを推進する中で「全国医療情報プラットフォーム」の運用が開始され、電子カルテや電子処方箋など医療全般にわたる情報の共有により、日本の医療インフラの変革が本格化します。医療DXの推進をさらに加速するためには、医療機器のセキュリティ確保が喫緊の課題となっており、医療機関には、大切な医療情報を守り、不測の事態が発生しても医療活動を継続するための管理責任が求められています。本セミナーでは、安心・安全な病院のデジタル化を推進するために、2023年（令和5 年）5月に公開された「医療情報システムの安全管理に関するガイドライン第6.0版」を中心に、医療機関が直ちに取り組むべきセキュリティ対策を解説します。 セッション2： EU CRAにも対応可能！IEC 62443に基づいた「医療情報システムの安全管理に関するガイドライン」対応 SGSジャパン株式会社 プロジェクトマネージャー 河野 喜一様 日本では、 2023年4月1日より、医療機関向けに「最新の医療情報システムの安全管理に関するガイドラインを参照したセキュリティ対策」が必要となり、医療機器ソフトウェアに対しては、JIS T 81001-5-1ヘルスソフトウェア＆ヘルスITシステムセキュリティ適合が必要となりました。（補足）医療機器ソフトウェアに対する適合は、猶予期間が2024年3月31日までありました。 EUでも、2027年12月よりCRA（Cyber Resilience Act）が適用され、EUの医療機関でもCRAへの適合が必要となる見込みです。CRAの適合には、JIS T 81001-5-1のベースになったIEC 62443制御システムセキュリティ、RED（Radio Equipment Directive）の整合規格EN 18031無線機器セキュリティなどの適合が必要となります。 本セッションでは、医療業界のセキュリティ動向、及び、IEC 62443・EN 18031の要求事項に基づいた「医療情報システムの安全管理に関するガイドライン」についてご紹介いたします。 セッション3： セキュリティ対策は品質の一部、各国規制を基に考える、一過性ではない医療機器のサイバーセキュリティ対策 ブラック・ダック・ソフトウェア合同会社 シニアディレクター 大森 健史 改正薬機法や米国FD&C法524B条をはじめ、世界中で医療機器のサイバーセキュリティ対策、それも企画段階から保守終了までの製品ライフサイクル全体にわたる継続的なサイバーセキュリティ活動が求められています。また、それらは独立したセキュリティ単体の活動ではなく、製品開発・保守プロセスに組み込み、品質管理の一環として実施することが求められています。ライフサイクル全体にわたるサイバーセキュリティ活動を品質管理のプロセスに組み込み、計画し、実施し、文書化するには、製品に対する知識はもちろんのこと、サイバーセキュリティについての深い造詣も必要となります。本セッションでは、今求められているサイバーセキュリティ対策を概説するとともに、ブラック・ダックがどのように医療機器ベンダーを支援できるかについてご紹介します。