医療機器メーカーと病院は、患者の個人健康情報を保護するために協力する必要があります。この協力体制は、技術業界全体で最善の実践として認識されており、例えば多くのクラウドサービスプロバイダーがこのモデルに従っています。医療分野でも同様のモデルが登場し、医療機器メーカー、病院のソフトウェアプロバイダー、および保健機関が協力して患者情報と医療機器システムをサイバー犯罪活動から守ることが求められています。
米国FDAは、医療機器メーカーとソフトウェアプロバイダーに対し、セキュリティバイデザインと呼ばれるプロセスに従うことを要求しています。これは、製品に特定の制御を組み込むことで、病院がそれらを安全に展開し使用しやすくすることを目的としています。例えば、設定可能な暗号化、安全なログインページ、ユーザー認証要件などが、メーカーが製品に統合するセキュリティ機能の例です。
病院は、製品のセキュリティ機能を最適に活用するために、メーカーが提供する製品文書やガイドを確認することが重要です。これらのガイドは、新しいバージョンの製品やソフトウェアが展開されるたびに見直されるべきであり、強化されたセキュリティコントロールは、更新された暗号化設定や新しいプライベートキーなど、追加の対策を必要とする場合があります。
サイバー犯罪者はネットワークに侵入するための一つの弱点を必要とするだけです。そのため、メーカーと病院は協力して、エンドツーエンドの安全なデータ環境におけるお互いの役割と共有責任について明確にする必要があります。
【ニュース解説】
医療機器のデータセキュリティを向上させるためには、医療機器メーカーと病院が協力することが不可欠です。この協力体制は、患者の個人健康情報をサイバー犯罪から守るために、双方が共有する責任を理解し、対策を講じることを意味します。
米国食品医薬品局(FDA)は、セキュリティバイデザインというプロセスを通じて、医療機器メーカーとソフトウェアプロバイダーに対し、製品にセキュリティ機能を組み込むことを要求しています。これにより、病院が製品を安全に展開し、使用することが容易になります。例えば、設定可能な暗号化や安全なログインページ、ユーザー認証要件などが、製品に組み込まれるセキュリティ機能の例です。
しかし、これらのセキュリティ機能を最大限に活用するためには、病院側も積極的に関与する必要があります。病院は、メーカーから提供される製品文書やガイドを確認し、製品のセキュリティ機能を適切に設定・維持することが求められます。これには、特定の職員のみにログインアクセスを制限する、システム間の接続をネットワークセグメンテーションや制限されたポートを使用して保護する、信頼できる証明書を使用して医療機器と臨床データ受信システムの身元を確認するなどの措置が含まれます。
このような協力体制の下では、サイバー犯罪者がネットワークに侵入するための弱点を見つけ出すことが困難になります。医療機器メーカーと病院が連携し、エンドツーエンドの安全なデータ環境を構築することで、患者の個人健康情報を守ることが可能になります。
この協力体制の実現には、医療機器メーカーがセキュリティ機能を製品に組み込むだけでなく、病院がこれらの機能を適切に活用し、維持することが重要です。また、新しい製品やソフトウェアのバージョンがリリースされるたびに、セキュリティ設定を見直し、更新することが必要です。これにより、医療機器のデータセキュリティを継続的に向上させることができます。
この取り組みは、医療機器のセキュリティを強化するだけでなく、患者の信頼を維持し、医療サービスの質を高めることにも寄与します。しかし、このような協力体制を実現するためには、医療機器メーカーと病院の間でのコミュニケーションと理解が不可欠であり、両者が共有する責任を認識し、それぞれが果たすべき役割を明確にする必要があります。
from How Hospitals Can Help Improve Medical Device Data Security.
