セミナーレポート：【医療×サイバーセキュリティ】オンラインセミナーを開催しました！

みなさま、こんにちは！
最近は公園などでセミも鳴きはじめ、夏本番の暑さを感じてきましたね。

今回は7月7日に株式会社ビーエスピーソリューションズと共催で開催しましたセミナー「IMDRF・医療情報ガイドライン対応の勘所と構成管理プラクティス活用事例の解説」の開催レポートを医療ITサービス担当者よりお届けします。

たくさんの方にセミナーへご参加いただき、ありがとうございました。
今回は予定が合わず残念ながら参加できなかったという方や、セミナーを開催していることを知らなかった！という方もいらっしゃるかと思いますので、簡単にセミナーの内容をご紹介したいと思います。

セミナー概要

第一部では、株式会社ビーエスピーソリューションズのご担当者様より「IMDRF・医療情報ガイドライン対応の勘所と構成管理プラクティス活用事例の解説」について、講演者と質問者による掛け合い形式でご講演いただきました。

講演の中では、医療機器のサイバーセキュリティに関する世の中の動向や求められる構成管理、さらにはサイバーセキュリティ対応を通じたサービスビジネスの拡大という広い観点から解説していただきました。

第二部では、当社の情報セキュリティコンサルタントの武田より「サイバーセキュリティ・ガイドライン対応の肝となるリスクマネジメントの解説」についてご紹介いたしました。

デジタルヘルスにおけるサイバー攻撃の最新事例とともに、ガイドライン改定の背景や近年の動向をご紹介し、リスクマネジメントを用いたサイバーセキュリティへの対応や、それを支援する弊社サービスについてもご紹介いたしました。

質疑応答を一部ご紹介

セミナー内容に関してのご質問も多くいただき、みなさまの関心の高さを実感いたしました。
中でも気になる方が多いと思われる２つのご質問を今回は紹介させていただきます。

【質問１】
サイバー攻撃の事例紹介がありましたが、これらはガイドラインの観点から、厚労省、経産省・総務省のどちらへの対応が不十分であったことに起因すると考えられるのでしょうか。
→厚労省の5.1→5.2の所で事例の4点目が関連するとのお話があったので、それぞれの観点を教えていただきたいです。

【回答１】
今回提示させていただきました事例は、医療機関等へのサイバー攻撃事例となりますので、厚労省版医療情報ガイドラインへの対応不備となります。
但し、サイバー攻撃対策をベンダーが運用・保守しているケースも考えられますので、責任分界点は契約等にて明確にする必要はあるかと思います。（補足ですが、ベンダーは統合版医療情報ガイドラインへの準拠が求められています。）
事例の件について補足いたします。
厚労省版第5.2版で追加となった要求事項が『6.10.災害、サイバー攻撃等の非常時の対応 （3） サイバー攻撃を受けた際の対応』です。
その対策として、バックアップからの重要なファイルの復元があります。
そのバックアップ自体の方法の1つが、端末及びサーバ装置やネットワークから切り離したバックアップデータを保管することとしています。ご紹介した事例は、要求事項通り、オフラインバックアップを取得していたため、サイバー攻撃にあっても2日後から業務を稼働できました。よって、ネットワークから切り離したバックアップデータの保管が有効に機能したことになります。

【質問２】
リスク評価において閉域網で動作されるアプリにおいて、利用しているライブラリ・モジュール等の脆弱性がcveなどで公開された際にもリスクへの対応が必要という認識ですが、この場合にライブラリを置き換えた事によってアルゴリズム機能しなくなるといった別の重大な副作用が発生することを懸念しています　このような場合にはどのようなリスク評価対応をしていくのがベストプラティクスとなるのでしょうか

【回答２】
ご質問の通りライブラリを置き換えたことによりアプリが動作しなくなる懸念はあります。
モジュール変更等により動作しなくなるリスクを考慮する必要があります。
そのためにも、脆弱性対応したライブラリ・モジュールが現行動作しているアプリ上で問題なく稼働するかどうか確認が必要となるため、試験環境等で稼働確認して本番環境へ移行する等手順を決めて、対応するのがよろしいかと思います。

ホワイトペーパーのご紹介

本セミナーに関するホワイトペーパーがございます、ぜひご覧ください。
（当日のセミナー資料とは異なります。）
IMDRF・医療情報ガイドライン対応から始める医療機器管理のトランスフォーメーション

資料ダウンロード｜医療｜キヤノンITソリューションズ

おわりに

医療×サイバーセキュリティに関するセミナーは今後も定期的に開催予定です。
より内容をアップデートし最新情報と共にみなさまへお届けしてまいります。開催が決まり次第noteの記事を投稿しますので、ぜひフォローしてお待ちください。

気になるサービスや、より詳しく知りたい項目などありましたら、
こちらまでお問い合わせください。

キヤノンITソリューションズ： お問い合せフォーム(医療)　-入力

―――――――――――――――――――――――――★―☆。.:*:・゜―
キヤノンITソリューションズ 公式Webサイト

キヤノンITソリューションズ

セミナー関連サイト

医療｜キヤノンITソリューションズ