デロイト トーマツ リスクサービスは2017年8月22日、医療機器を対象にしたセキュリティ対策サービスの提供開始を発表した。米国では医療機器のサイバーセキュリティについて規制強化が進んでいる。米食品医薬品局(FDA)の規制に対応するため、ガバナンスやポリシーのコンサルティングから製品実装の第三者検証までの一気通貫のサービスを提供する。
同社の川勝健司パートナーは「医療機器がネットワークに繋がるようになり、遠隔コントロールや自動化が進んでいる。半面、ハッキングによる誤動作や情報漏えいの可能性は増しており、当局による規制強化が進んでいる」と話す。
デロイト トーマツ リスクサービスの川勝健司パートナー
[画像のクリックで拡大表示]
規制強化で先行するのは米国だ。FDAは2014年12月に販売前の医療機器の設計開発で考慮すべき事項のガイドラインを、2016年12月に販売後の医療機器で考慮すべきガイドラインを相次いで施行した。「ガイドラインに準拠していないと、許認可が下りない可能性がある。過去にはサイバー攻撃に対する脆弱性を理由に回収指令を受けたメーカーもある」(川勝パートナー)。
同社の新サービスは米国で医療機器を販売するメーカーを対象に、FDAの規制を満たすような企業レベル、製品レベルのセキュリティ対策の策定と実装を支援する。国内の専門家と米国の専門家がチームとなり、コンサルティングやアセスメント、テストなどを実施する。「数社から十数社が対象になると考えている」(川勝パートナー)。
川勝パートナーは「将来的には、日本国内でも同様の規制が進んでいくと予測している」と指摘。まずは先行する米国向けで実績を作り、医療機器メーカー向けのセキュリティ対策サービスを拡大していく考えだ。
