Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
What to Upload to SlideShare
Loading in …3
×
1 of 52

世界の潮流に学ぶSaMD/AIサイバーセキュリティ対策動向

Aug. 21, 2019
3 likes 1,218 views

3

Share

Health & Medicine

1.セーフティ/OTとセキュリティ/IT:
 カナダに学ぶデジタルツインのサイバーセキュリティ
1-1.カナダ保健省「カナダ保健省の医療機器行動 計画:安全性、有効性、品質の継続的改善」(2018年12月20日)
1-2.カナダ保健省「ガイダンス文書草案:Software as a Medical Device」(2019年1月23日)
1-3.カナダ保健省「ガイダンス文書:医療機器サイバー セキュリティの市販前要求事項」(2019年6月26日)
1-4.カナダ政府「人工知能(AI)の責任のある利用」

2. 市販前/開発と市販後/運用の一体化:
 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ
2-1.オーストラリア薬品・医薬品行政局(TGA)「医療機器基本原則(EP)」
2-2.オーストラリア薬品・医薬品行政局(TGA)「コンサルテーション:Software as a Medical Device(SaMD)を含むソフトウェアの規制」(2019年2月13日)
2-3.オーストラリア薬品・医薬品行政局(TGA)「業界 向け医療機器サイバーセキュリティ・ガイダンス第1版」(2019年7月18日)
2-4.オーストラリア薬品・医薬品行政局(TGA)「ユーザー向け医療機器サイバーセキュリティ情報第1版」(2019年7月18日)
2-5.オーストラリア産業・イノベーション・科学省(DIIS)「人工知能 - オーストラリア倫理フレームワーク」(2019年4月5日)

3. SaMD/AIと医療機器/非医療機器:
  フランスに学ぶリスクベースのサイバーセキュリティ
3-1.欧州の医療機器・医薬品を取り巻くルールの関係(2019年8月時点の情報に基づく)
3-2.国際医療機器規制当局フォーラム(IMDRF)「Software as a Medical Device:リスク分類と対応の考慮事項」(2014年9月18日)
3-3.欧州医薬品庁(EMA)「医薬品-機器コンビネーションのための品質要求事項草案」(2019年6月3日)
3-4.フランス医薬品・保健製品安全庁(ANSM)「ライフサイクルにおいてソフトウェアと統合される医療機器のサイバーセキュリティガイドライン草案」(2019年7月19日)
3-5.欧州委員会(EC)「人工知能の定義: 主要機能と科学的原則」(2019年4月8日)
3-6.欧州委員会(EC)「信頼できるAIの倫理ガイドライン」(2019年4月8日)

4. 世界の潮流から乗り遅れた日本のSaMD/AIに敗者復活戦はあるか
4-1.セーフティ/OTとセキュリティ/IT
4-2.市販前/開発と市販後/運用の一体化
4-3.SaMD/AIと医療機器/非医療機器

5. Open Questions

Recommended

Related Books

Free with a 30 day trial from Scribd

See all
Hunt, Gather, Parent: What Ancient Cultures Can Teach Us About the Lost Art of Raising Happy, Helpful Little Humans Michaeleen Doucleff
(4.5/5)
Free
The Well-Gardened Mind: The Restorative Power of Nature Sue Stuart-Smith
(3.5/5)
Free
An Anatomy of Pain: How the Body and the Mind Experience and Endure Physical Suffering Abdul-Ghaaliq Lalkhen
(3/5)
Free
Let's Talk About Hard Things Anna Sale
(4/5)
Free
How to Sleep: The New Science-Based Solutions for Sleeping Through the Night Rafael Pelayo
(2/5)
Free
Happiness Becomes You: A Guide to Changing Your Life for Good Tina Turner
(4/5)
Free
The Secret to Superhuman Strength Alison Bechdel
(4/5)
Free
We Need to Hang Out: A Memoir of Making Friends Billy Baker
(3/5)
Free
To Raise a Boy: Classrooms, Locker Rooms, Bedrooms, and the Hidden Struggles of American Boyhood Emma Brown
(3/5)
Free
The 4 Season Solution: A Groundbreaking Plan to Fight Burnout and Tap into Optimal Health Dallas Hartwig
(4/5)
Free
The Vagina Bible: The Vulva and the Vagina: Separating the Myth from the Medicine Dr. Jen Gunter
(4.5/5)
Free
Super Human: The Bulletproof Plan to Age Backward and Maybe Even Live Forever Dave Asprey
(4.5/5)
Free
The Little Book of Game Changers: 50 Healthy Habits for Managing Stress & Anxiety Jessica Cording
(4/5)
Free
The Rabbit Effect: Live Longer, Happier, and Healthier with the Groundbreaking Science of Kindness Kelli Harding
(5/5)
Free
Why Did I Come into This Room?: A Candid Conversation about Aging Joan Lunden
(2.5/5)
Free
Beyond Coffee: A Sustainable Guide to Nootropics, Adaptogens, and Mushrooms James Beshara
(4/5)
Free

Related Audiobooks

Free with a 30 day trial from Scribd

See all
The Full Spirit Workout: A 10-Step System to Shed Your Self-Doubt, Strengthen Your Spiritual Core, and Create a Fun & Fulfilling Life Kate Eckman
(4/5)
Free
The Night Lake: A Young Priest Maps the Topography of Grief Liz Tichenor
(5/5)
Free
World War C: Lessons from the Covid-19 Pandemic and How to Prepare for the Next One Sanjay Gupta
(4.5/5)
Free
The Working Parent's Survival Guide: How to Parent Smarter Not Harder Anita Cleare
(0/5)
Free
10 Rules for Resilience: Mental Toughness for Families Joe De Sena
(5/5)
Free
The Pain Gap: How Sexism and Racism in Healthcare Kill Women Anushay Hossain
(4.5/5)
Free
A Body to Love: Cultivate Community, Body Positivity, and Self-Love in the Age of Social Media Angelina Caruso
(4/5)
Free
Nobody Knows the Trouble I’ve Seen: The Emotional Lives of Black Women Inger Burnett-Zeigler
(4.5/5)
Free
Yoke: My Yoga of Self-Acceptance Jessamyn Stanley
(4.5/5)
Free
Self-Help for the Helpless: A Beginner's Guide to Personal Development, Understanding Self-care, and Becoming Your Authentic Self Shelley Wilson
(5/5)
Free
Permission to Dream Chris Gardner
(4.5/5)
Free
Life Is a 4-Letter Word: Laughing and Learning Through 40 Life Lessons David A. Levy
(4/5)
Free
The Awe Factor: How a Little Bit of Wonder Can Make a Big Difference in Your Life Allen Klein
(4/5)
Free
The Energy Paradox: What to Do When Your Get-Up-and-Go Has Got Up and Gone Steven R. Gundry, MD
(4.5/5)
Free
Heartwood: The Art of Living with the End in Mind Barbara Becker
(4.5/5)
Free
Single On Purpose: Redefine Everything. Find Yourself First. John Kim
(4.5/5)
Free

世界の潮流に学ぶSaMD/AIサイバーセキュリティ対策動向

  1. 1. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance Health Information Management (HIM) Working Group 世界の潮流に学ぶSaMD/AIサイバーセキュリティ対策動向 September 4, 2019 @esasahara
  2. 2. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1.セーフティ/OTとセキュリティ/IT: カナダに学ぶデジタルツインのサイバーセキュリティ 2. 市販前/開発と市販後/運用の一体化 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ 3. SaMD/AIと医療機器/非医療機器 フランスに学ぶリスクベースのサイバーセキュリティ 4. 世界の潮流から乗り遅れた日本の SaMD/AIに敗者復活戦はあるか
  3. 3. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1.セーフティ/OTとセキュリティ/IT: カナダに学ぶデジタルツインのサイバーセキュリティ 2. 市販前/開発と市販後/運用の一体化 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ 3. SaMD/AIと医療機器/非医療機器 フランスに学ぶリスクベースのサイバーセキュリティ 4. 世界の潮流から乗り遅れた日本の SaMD/AIに敗者復活戦はあるか
  4. 4. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-1-1.行動計画およびタイムライン 第1部:市場における機器の入手方法の改善  医療専門家による研究の拡大と患者保護の拡大 - 2019年早期に開始  エビデンス要求事項の見直しと科学的専門性の拡張 - 2019年1月に開始 第2部:モニタリングとフォローアップの強化  報告義務の導入とカナダ医療機器センチネルネットワークの拡張 - 2019年2 月に開始  医療機器の安全性・有効性に関する情報を強いる機能の創設とリアルワールド エビデンスの利用の拡張 - 2019年早期に開始  査察と法執行における能力の強化- 2019年に開始 第3部:カナダ市民に対する一層の情報の提供  医療機器臨床データへのアクセスの改善- 2019年早期に完了  医療機器承認に関する情報の拡大と医療機器インシデントデータの公表 - 2019年1月に開始
  5. 5. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance ・1-2-1. ガイダンス文書草案の構成: 章立て 項目 1.イントロダクション 1.1 ポリシーの目標 1.2 ポリシーステートメント 1.3 スコープと運用 1.4 略語と定義 1.4.1 略語 1.4.2 定義 2.導入のためのガイダンス 2.1 Software as a Medical Device (SaMD)とは何か - 対象基準 2.2 除外基準 2.3 SaMDの分類 2.3.1 SaMDの意図する使用のステートメント 2.3.1.1 SaMDが提供する情報の医療意思決定に対する重要性 2.3.1.1.1 治療か診断か 2.3.1.1.2 臨床/患者管理の促進 2.3.1.1.3 臨床/患者管理の告知 2.3.1.2 SaMDが対象とする健康の状況または状態の様相 2.3.1.2.1 危篤な状況または状態 2.3.1.2.2 重篤な状況または状態 2.3.1.2.3 重篤でない状況または状態 2.3.1.3 SaMDの中核機能の記述 2.3.2 体外診断用以外のSaMDの分類 2.3.3 体外診断用SaMDの分類 Appendix 追加の国際リソース
  6. 6. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-2-2.SaMDの定義 単一または複数の医療目的のために使用されるソフトウェアで、 ハードウェア医療機器の一部となることなく目的を遂行する SaMDの除外基準: 医療施設の管理業務支援を意図とするソフトウェア 臨床コミュニケーションやワークフローを可能にするソフトウェア で、患者登録、来診予約、ボイスコール、ビデオコールを含む 一般的なウェルネスアプリケーションなど、健康的なライフスタ イルの維持または促進を意図とするソフトウェア 電子カルテとして機能するソフトウェア
  7. 7. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-2-3.体外診断用以外のSaMDの分類 出典:Health Canada「Draft Guidance Document: Software as a Medical Device (SaMD)」(2019年1月23日) https://www.canada.ca/en/health-canada/services/drugs-health-products/public-involvement-consultations/medical-devices/software- medical-device-draft-guidance/document.html#app1
  8. 8. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance ・1-3-1. ガイダンス文書の構成: 章立て 項目 1.イントロダクション 1.1 ポリシーの目標 1.2 ポリシーステートメント 1.3 スコープと運用 1.4 略語と定義 1.4.1 略語 1.4.2 定義 2.導入のためのガイダンス 2.1 医療機器サイバーセキュリティ戦略 2.1.1 セキュアな設計 2.1.2 機器固有のリスクマネジメント 2.1.3 検証および妥当性確認リスト 2.1.4 モニタリングおよび新たなリスクへの対応 2.2 医療機器ライセンス申請 2.2.1 機器表示、包装表示および文書 2.2.2 マーケティング履歴 2.2.3 リスク評価 2.2.4 機器固有の品質計画 2.2.5 安全性と有効性 2.2.5.1 標準規格 2.2.5.2 サイバーセキュリティ試験 2.2.5.3 トレーサビリティーのマトリックス 2.2.5.4 メンテナンス計画 3.レファレンス Appendix A 製造業者のサイバーセキュリティ・リスクマネジメントフレームワーク
  9. 9. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-3-2. 医療機器サイバーセキュリティリスクと ISO 14971に基づく安全性リスクの関係 出典:Health Canada「Guidance Document: Pre‐market Requirements for Device Cybersecurity」(2019年6月26日) https://www.canada.ca/en/health-canada/services/drugs-health-products/medical-devices/activities/announcements/cybersecurity- notice.html
  10. 10. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-3-3.サイバーセキュリティリスク 管理(IT主導)と 安全性リスク管理 (OT主導)の関係 出典:Health Canada「Guidance Document: Pre‐market Requirements for Device Cybersecurity」(2019年6月26日) https://www.canada.ca/en/health-canada/services/drugs-health-products/medical-devices/activities/announcements/cybersecurity- notice.html
  11. 11. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-3-3.サイバーセキュリティ リスク管理(IT主導)と 安全性リスク管理 (OT主導)の関係(続き) 出典:Health Canada「Guidance Document: Pre‐market Requirements for Device Cybersecurity」(2019年6月26日) https://www.canada.ca/en/health-canada/services/drugs-health- products/medical-devices/activities/announcements/cybersecurity-notice.html
  12. 12. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-3-4.参照すべき国際標準規格(例) AAMI TIR57:2016 ‐ Principles for medical device security ‐ Risk management ANSI/CAN/UL 2900‐1:2017 ‐ Standard for Software Security Network‐Connectable Products, Part 1: General Requirements ANSI/CAN/UL 2900‐2‐1:2018 ‐ Software Cybersecurity for Network Connectable Products IEC 80001‐1: 2010 ‐ Application of risk management for IT‐networks incorporating medical devices NIST 800‐30 Revision 1 Guide for Conducting Risk Assessments, September 2012
  13. 13. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-4-1.指針原則 1. ツールや手法を開発・共有することによって、AI利用の影響 度を理解し、評価する 2. 明確なユーザーニーズと公的便益から始めながら、どのように、 いつAIを利用するかについて透明性を保つ 3. AI意思決定に関して意味のある説明を提供する一方、結果 をレビューし、これらの決定に取組む機会を提供する 4. ソースコードの共有、データのトレーニング、その他の重要な 情報によって、できるだけオープンにする一方、個人情報、システ ム統合、国家のセキュリティ・防衛を保護する 5. AIソリューションを開発し利用する政府職員が、AIに基づく 公的サービスを改善するために必要な、責任のある設計、機能、 展開のスキルを持てるように、十分なトレーニングを提供する
  14. 14. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1-4-2.責任のあるAI利用に向けた取組 適格人工知能(AI)サプライヤーリスト ~カナダ政府向けのAIソリューション販売に関心のある企業 一覧 アルゴリズム影響度評価(AIA) ~倫理的・人間的観点から、AIソリューションがどうやって受け 入れられるかについて、設計者が判断するのに役立つ手法 意思決定自動化指令 ~意思決定自動化システムが責任を持って利用されることを 保証する 2017-2021年カナダ政府情報管理・情報技術戦略計画
  15. 15. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1.セーフティ/OTとセキュリティ/IT: カナダに学ぶデジタルツインのサイバーセキュリティ 2. 市販前/開発と市販後/運用の一体化 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ 3. SaMD/AIと医療機器/非医療機器 フランスに学ぶリスクベースのサイバーセキュリティ 4. 世界の潮流から乗り遅れた日本の SaMD/AIに敗者復活戦はあるか
  16. 16. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-1-1. 医療機器および体外診断用(IVD)医療機器 の製造業者が順守すべき事項  EP1.健康や安全を損なわない医療機器の使用  EP2.安全原則に適合する医療機器の設計および構築  EP3.意図した目的に適合する医療機器  EP4.長期的な安全  EP5.輸送や保存による副次的な影響を受けない医療機器  EP6.あらゆる望ましくない結果を上回る医療機器の利点  EP7.化学的、物理学的、生物学的特性  EP8.感染および微生物汚染  EP9.建設および環境資産  EP10.測定機能付医療機器  EP11.放射線防護  EP12.エネルギー源と接続または装備した医療機器  EP13.医療機器とともに提供される情報  EP14.臨床エビデンス  EP15.体外診断用医療機器のみに適用される原則
  17. 17. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-1-2. 医療機器および体外診断用(IVD)医療機器 の製造業者がサイバーセキュリティで考慮すべき事項  EP1.健康や安全を損なわない医療機器の使用  EP2.安全原則に適合する医療機器の設計および構築  EP3.意図した目的に適合する医療機器  EP4.長期的な安全  EP5.輸送や保存による副次的な影響を受けない医療機器  EP6.あらゆる望ましくない結果を上回る医療機器の利点  EP9.建設および環境資産  EP10.測定機能付医療機器  EP12.エネルギー源と接続または装備した医療機器  EP13.医療機器とともに提供される情報
  18. 18. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-2-1.コンサルテーション文書の構成 *SaMDには、人工知能(AI)や機械学習(ML)を 利用したアルゴリズムに依存するソフトウェアも含まれる • イントロダクション • 背景 • 提案された規制の変更点 • 提案された変更の便益 • 提案された変更の規制への影響度 • コンサルテーション • Appendix 1 – Software as a Medical Device (SaMD)とは何か
  19. 19. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-1.適用対象事業者 スタンドアロンの医療機器向けまたはSoftware as a Medical Device(SaMD)として使用されるソフト ウェアを開発する製造業者(設計時に人工知能を組み 込む機器を含む) サイバーベースの脅威に対して脆弱な可能性のあるコン ポーネントを含む医療機器(体外診断用医療機器を 含む)の製造業者 オーストラリアにおける医療機器の供給に責任のある医療 機器のスポンサーで、安全および品質が証明され、基本 原則の順守が維持されていることを保証する者
  20. 20. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-2.進化するデジタル ヘルスとサイバーの動向 出典:Therapeutic Goods Administration(TGA) 「Medical device cyber security guidance for industry」 (2019年7月18日) https://www.tga.gov.au/publication/medical-device- cyber-security-guidance-industry
  21. 21. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-3.ガイダンスの構成 出典:Therapeutic Goods Administration(TGA)「Medical device cyber security guidance for industry」 (2019年7月18日)を基にヘルスケアクラウド研究会作成
  22. 22. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-4. サイバーセキュリティで認められた標準規格 • ISO 14971 (医療機器-リスクマネジメントの医療機器への適用) • ISO 13485(医療機器-品質マネジメントシステム-規制目的のための要求事項) • IEC 62304(医療機器ソフトウェアーソフトウェアライフサイクルプロセス) • IEC 60601シリーズ(医用電気機器-基礎安全と基本性能に関する一般要求事項) • IEC 62366-1(医療機器-第1部:医療機器へのユーザビリティエンジニアリングの適用) • IEC TR 62366-2(医療機器-第2部:医療機器へのユーザビリティエンジニアリングの適用のガイダンス) • UL 2900-1(ネットワーク接続製品のためのソフトウェアサイバーセキュリティ-第1部:一般要件) • UL 2900 2-1(ネットワーク接続製品のためのソフトウェアサイバーセキュリティ-第2-1部:ヘルスケアシステムの ネットワーク接続可能部品に関する特定要件) • IEC 80001シリーズ(医療機器を組み込むITネットワークのためのリスクマネジメントの適用) • AAMI/UL 2800(相互運用性のある医療システムの安全性とセキュリティの要件) • AAMI TIR 57(医療機器情報セキュリティの原則-リスクマネジメント) • IEC 80002シリーズ(医療機器ソフトウェア) • ISO/IEC 15408シリーズ(ITセキュリティ評価基準) • IEC 82304-1(ヘルスソフトウェア―第1部:製品安全に関する一般要求事項) • ISO/IEC 29147(情報技術-セキュリティ技術-脆弱性の開示) • ISO/IEC 30111(情報技術-セキュリティ技術-脆弱性取扱手順) • ISO 27799(医療情報-健康分野におけるISO/IEC27002を活用した情報セキュリテイマネジメント) • ISO 14708-1(外科用インプラント-能動埋込み医療機器-第1部: 第1 部:安全性、表示及び製造業者に よって提供される情報に関する一般要求事項) • IEC 61010-2-101(測定用,制御用及び試験室用電気機器の安全性-第2-101部:体外診断用 (IVD)医療機器の個別要求事項)
  23. 23. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-5.市販前/市販後ガイダンスの構成 出典:Therapeutic Goods Administration(TGA)「Medical device cyber security guidance for industry」 (2019年7月18日)を基にヘルスケアクラウド研究会作成
  24. 24. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-3-6.脆弱性、悪用、脅威、リスク、敵対者の関係 出典:Therapeutic Goods Administration(TGA)「Medical device cyber security guidance for industry」 (2019年7月18日) https://www.tga.gov.au/publication/medical-device-cyber-security-guidance-industry
  25. 25. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-4-1.ユーザー向け医療機器サイバーセキュリティ情報 第1版の構成 出典:Therapeutic Goods Administration(TGA)「Medical device cyber security guidance for industry」 (2019年7月18日)を基にヘルスケアクラウド研究会作成
  26. 26. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-4-2.小規模事業者向けガイダンスの「エッセンシャル・ エイト成熟度モデル」 【マルウェアの配布および実行を予防する低減戦略】 • 1.アプリケーションのホワイトリスト化 • 2.アプリケーションのパッチ適用 • 3.Microsoft Officeマクロ設定の構成 • 4.アプリケーションのハードニング 【サイバーセキュリティ・インシデントの範囲を抑制する低減戦略】 • 5.管理者特権の制限 • 6.OSのパッチ適用 • 7.多要素認証 【データおよびシステムの可用性を回復する低減戦略】 • 8.日常的なバックアップ
  27. 27. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-4-2.小規模事業者向けガイダンスの「エッセンシャル・ エイト成熟度モデル」 【マルウェアの配布および実行を予防する低減戦略】 • 1.アプリケーションのホワイトリスト化 • 2.アプリケーションのパッチ適用 • 3.Microsoft Officeマクロ設定の構成 • 4.アプリケーションのハードニング 【サイバーセキュリティ・インシデントの範囲を抑制する低減戦略】 • 5.管理者特権の制限 • 6.OSのパッチ適用 • 7.多要素認証 【データおよびシステムの可用性を回復する低減戦略】 • 8.日常的なバックアップ
  28. 28. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-5-1.AIの中核原則 出典:Australian Government 「Artificial Intelligence: Australia‘s Ethics Framework」(2019年4月5日) https://consult.industry.gov.au/strategic-policy/artificial-intelligence-ethics-framework/
  29. 29. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-5-2.倫理AIツールキット 出典:Australian Government 「Artificial Intelligence: Australia‘s Ethics Framework」(2019年4月5日) https://consult.industry.gov.au/strategic-policy/artificial-intelligence-ethics-framework/
  30. 30. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2-5-3.AIシステムのリスク評価フレームワーク(例) 出典:Australian Government 「Artificial Intelligence: Australia‘s Ethics Framework」(2019年4月5日) https://consult.industry.gov.au/strategic-policy/artificial-intelligence-ethics-framework/
  31. 31. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1.セーフティ/OTとセキュリティ/IT: カナダに学ぶデジタルツインのサイバーセキュリティ 2. 市販前/開発と市販後/運用の一体化 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ 3. SaMD/AIと医療機器/非医療機器 フランスに学ぶリスクベースのサイバーセキュリティ 4. 世界の潮流から乗り遅れた日本の SaMD/AIに敗者復活戦はあるか
  32. 32. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 出典:NPO法人ヘルスケアクラウド研究会(2019年8月) 法規制の 対象 EUおよび加盟国のルール EU域内統一 ルール(規則) EU共通のミニマム スタンダード(指令) EU加盟国の個別法規制 医薬品 臨床試験 医療機器 サイバー セキュリ ティ プライバ シー EUネットワーク・情報システムの セキュリティに関する(NIS)指令 (2016年8月発効) EU指令に準拠し、2018年5月まで に各加盟国が国内法制を整備 EU一般個人データ保護規則(GPPR) (2018年5月より、EU域内一律に適用開始) EU医療機器規則(MDR)(2020年5月より、EU域内一律に適用開始予定) EU体外診断用医療機器規則(IVDR )(2022年5月より、EU域内一律に適用開始予定) 32 (欧州医薬品庁(EMA)所管下でEU域内一律適用) 医薬品関連EU指令 EU指令に準拠した 各加盟国の国内法制 EU臨床試験規則 (2019年より、欧州医薬品庁(EMA)所管下でEU域内一律に適用開始予定) 人用および動物用薬品 の認可手続きと監視、 並びに医薬品庁の設立 に関する規則(現行)
  33. 33. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-1-1.Software as a Medical Device(SaMD) の分類 • SaMDの定義=1つもしくは複数の医療目的のために使用 することを意図とするソフトウェアで、ハードウェア医療機器の 一部となることなくこれらの目的を達成するもの • 医療場面や病態の現状の観点: 「危機的(Critical)」、「深刻(Serious)」、 「深刻でない(Non-serious)」 • 医療上の決定に対するSaMD提供情報の意義の観点: 「治療または診断(Treat or Diagnose)」、 「臨床管理の運用(Drive clinical management)」、 「臨床管理に関する情報提供(Inform clinical management)」
  34. 34. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-2-1.Software as a Medical Device(SaMD) の分類 • SaMDの定義=1つもしくは複数の医療目的のために使用 することを意図とするソフトウェアで、ハードウェア医療機器の 一部となることなくこれらの目的を達成するもの • 医療場面や病態の現状の観点: 「危機的(Critical)」、「深刻(Serious)」、 「深刻でない(Non-serious)」 • 医療上の決定に対するSaMD提供情報の意義の観点: 「治療または診断(Treat or Diagnose)」、 「臨床管理の運用(Drive clinical management)」、 「臨床管理に関する情報提供(Inform clinical management)」
  35. 35. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-2-1.Software as a Medical Device(SaMD) の分類(続き) 出典:IMDRF「“Software as a Medical Device”: Possible Framework for Risk Categorization and Corresponding Consideration」 (2014年9月18日) http://www.imdrf.org/docs/imdrf/final/technical/imdrf-tech-140918-samd-framework-risk-categorization-141013.pdf
  36. 36. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-3-1.医療機器を含む医薬品(コンビネーション製品)の 分類 • 統合型:単一の統合型製品を構成する医薬品および機器 • 1MDRに要求事項が規定されており、コンビネーション 製品の承認申請書に、医療機器のCEマーク認証または 適合宣言書(DoC)が含まれている必要がある • 同梱型:同一パッケージに別のアイテムが含まれている 医薬品および機器 • 従来からの医療機器法制に従って、CEマークの認証を 取得する必要がある • MDRが適用される2020年5月26日までに、コンビネーシ ョン製品向けガイドライン最終版を公表する方針
  37. 37. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-4-1.サイバーセキュリティの主要な基準 • 完全性 • 可用性 • 機密性 • 可監査性 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information )
  38. 38. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-4-2.情報システムセキュリティ(ISS)の主要原則 • 予防:多層防御の概念 • インストールのモニタリングと インシデント検知 • インシデント処理、アラート、 対応の連鎖 • 脅威と脆弱性のモニタリング • 災害復旧計画(DRP)と 事業継続計画(BCP) • スタッフの認識向上 • インストールの作図とリスク分析 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information )
  39. 39. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-4-3.医療機器情報システム(MDIS)向けの情報 システムセキュリティ(ISS)とISO 14971の連携 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information )
  40. 40. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-4-4.医療機器ライフサイクルにおけるリスク分析 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information )
  41. 41. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-4-5.セキュリティアラートの イベント発生時における対処法 • 1.患者向けの医療機器の 安全な作動を保証する • 2.医療機器の可用性を保証する • 3.医療機器データの完全性と 機密性を確認する • 4.ユーザーに知らしめる 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information )
  42. 42. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-3-4.医療機器ライフサイクルにおけるリスク分析 出典:Agence Nationale de Sécurité du Médicament et des Produits de Santé (ANSM) 「Cybersecurity of medical devices integrating software during their life cycle」(2019年7月19日) (https://www.ansm.sante.fr/S-informer/Points-d-information-Points-d-information/L-ANSM-lance-une-consultation-publique-sur- un-projet-de-recommandations-pour-la-cybersecurite-des-dispositifs-medicaux-Point-d-information ) ソフトウェアライフサイクル 推奨事項 ①ソフトウェア設計活動 ・一般的な準備 ・医療機器使用のコンテキストの明確化 ・アクセス制御 ・認証管理 ・ホスティング ・使用環境 ・物理的セキュリティ ・ネットワーク接続された医療機器 ・トレーサビリティとログ ・医療機器作動中のモニタリングの提供 ・フェールセーフモードにおけるオペレーション ②医療機器ソフトウェア開発活動 ・プログラミング言語の選択 ・バリデーションの手法 ・セキュアな起動、メモリ整合性、機微データ ・医療機器保護のメカニズム ・文書化 ・ソフトウェアの検証/バリデーション ・生産開始とバリデーションのプロセス ③初期化-最初の使用 ・初期パラメーターと構成 ・医療機器の完全性保護デバイス ・使用適性の包含/エンドユーザーの考慮 ④モニタリング-市販後管理 ・インシデント管理と是正活動 ・ソフトウェア更新/保守の手法 ・セキュリティアラートのイベントにおいて何をすべきか ⑤医療機器ソフトウェアの廃棄 ・医療機器のサードパーティ・コンポーネントの廃棄 ・医療機器データの廃棄管理 ・ハードウェア
  43. 43. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-5-1.AIシステムの模式図 AIシステム=AIベースのコンポーネント、ソフトウェア、 そして/またはハードウェア 出典:European Commission 「A definition of Artificial Intelligence: main capabilities and scientific disciplines」(2019年4月8日) https://ec.europa.eu/digital-single-market/en/news/definition-artificial-intelligence-main-capabilities-and-scientific-disciplines
  44. 44. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-5-2.AIの下位区分とその関係 • 機械学習 • 推論 • ロボティクス 出典:European Commission 「A definition of Artificial Intelligence: main capabilities and scientific disciplines」(2019年4月8日) https://ec.europa.eu/digital-single-market/en/news/definition-artificial-intelligence-main-capabilities-and-scientific-disciplines
  45. 45. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-6-1信頼できるAIのフレームワーク • 信頼できるAIの 基盤 • 信頼できるAIの 実現 • 信頼できるAIの 評価 出典:European Commission 「Ethics guidelines for trustworthy AI」(2019年4月8日) https://ec.europa.eu/digital-single- market/en/news/ethics-guidelines-trustworthy- ai
  46. 46. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-6-2.信頼できるAIの要求事項の相互関係 • 人間の力と監視 • 技術的堅牢性と安全性 • プライバシーと データガバナンス • 透明性 • 多様性、非差別、公平性 • 社会的・環境的 ウェルビーイング • 責任 出典:European Commission 「Ethics guidelines for trustworthy AI」(2019年4月8日) https://ec.europa.eu/digital-single- market/en/news/ethics-guidelines-trustworthy- ai
  47. 47. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3-6-3.システム全体のライフサイクルを通した信頼できる AIの実現 出典:European Commission 「Ethics guidelines for trustworthy AI」(2019年4月8日) https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai
  48. 48. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1.セーフティ/OTとセキュリティ/IT: カナダに学ぶデジタルツインのサイバーセキュリティ 2. 市販前/開発と市販後/運用の一体化 オーストラリアに学ぶ製品ライフサイクルのサイバーセキュリティ 3. SaMD/AIと医療機器/非医療機器 フランスに学ぶリスクベースのサイバーセキュリティ 4. 世界の潮流から乗り遅れた日本の SaMD/AIに敗者復活戦はあるか
  49. 49. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 技術/管理領域の枠を越えた定義/タクソノミー の標準化・共有 OTとIT、セーフティとセキュリティの隙間に潜む リスクの認識 AIライフサイクル(開発・使用・運用)のガバナン スを効かせる人材の育成
  50. 50. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance ネットワーク接続環境やAIへの拡張を念頭に 置いたSoftware as a Medical Device (SaMD)の包括的な定義 DevSecOps(開発・セキュリティ・運用の一体 化)の視点に立ったトータル製品ライフサイクル 管理プロセスのデジタル・トランスフォーメーション (DX) AIライフサイクル(開発・使用・運用)全体に 渡ってガバナンスを効かせられる人材の育成
  51. 51. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 規制環境の変化を念頭に置いたSoftware as a Medical Device(SaMD)のモジュール化 完全性+可用性+機密性に、可監査性を付加 したリスクベースのサイバーセキュリティ・ガバナンス 体制の構築 信頼できるAIシステム(コンポーネント、ソフトウェア、 ハードウェア)に必要な共通基盤の構築・運用
  52. 52. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance

×