AAMI(医療機器進歩協会)の別のニュースページ「The Cybersecurity Challenges of Remote Care and Telehealth」の翻訳です。
公開日:2026年5月31日 | ソフトウェア&サイバーセキュリティ | 執筆:ダン・ヴィスノフスキー
「AAMI eXchange 2026」において、Medcrypt社のアクセル・ワース(Axel Wirth)氏とAJ・リーター(AJ Rieter)氏は、モバイルや遠隔医療サービスの爆発的な普及が、医療機器のサイバーセキュリティ、患者の安全性、そして個人のプライバシーにどのような影響を与えているかをテーマにセッションを行いました。
リーター氏によると、「世界のサイバー犯罪による影響は著しく増加している」とのことです。もしサイバー犯罪がもたらす年間財政影響を一つの国家の経済規模に例えるならば、そのGDPは日本を上回り、米国全体の医療費よりも高額になる計算です。また、医療分野を狙うサイバー犯罪の標的も、過去10年間で劇的に変化しました。米保健福祉省(HHS)の「ウォール・オブ・シェイム(侵害事例公表サイト)」をリーター氏が分析したところ、2010年代の侵害事例のほとんどは「資産(機器やデータの物理的)盗難」でした。しかし2020年代に入ると、ハッキングやITインシデントが「唯一の増加要因」となり、情報漏洩イベント全体の少なくとも80%を占めるまでに至っています。業界を震撼させた「Change Healthcare社へのサイバー攻撃」のような重大イベントは、医療におけるセキュリティ侵害がいかに深刻なリスクをはらんでいるかを決定づけました。
この敵対的な環境に拍車をかけているのが、AI搭載システム、医療機器、モバイルデバイス、そして遠隔医療や在宅ケアといった新しい技術やアプローチの登場です。医療セキュリティの境界線は今や消え去りつつあります。遠隔医療ソリューションが地域一帯に展開され、医療機関の職員が自宅から勤務するようになった現在、「病院の壁」はもはや医療セキュリティの境界線ではありません。ワース氏は、「私たちは思考を転換する必要がある」と警鐘を鳴らします。
ワース氏は、これらの変化がセキュリティとコンプライアンス(法令順守)上の問題を生み出していると指摘します。「データが自組織の管理下にある環境から離れてしまったとき、どうやってHIPAA(医療保険の相互運用性と説明責任に関する法)への準拠を管理・統制するのでしょうか?」。遠隔医療モデルを後押ししている背景には、米国の高齢化、医療費の高騰、新型コロナウイルス(COVID-19)による世界的緊急事態の名残、そして地方における医療アクセスの不足があります。さらに、政府機関や民間保険会社が遠隔医療のコストを償還(保険適用)するようになったことや、患者側に遠隔医療が広く受け入れられたことも、この変革を加速させました。
この新しい環境下でも、「安全で信頼できる環境を構築・実装できれば」、安全かつ効果的な医療を提供することは十分に可能です。新しいケアモデルには、在宅入院(Hospital-at-Home)、遠隔モニタリング、住み慣れた場所での老後(Aging in Place)といったパラダイムが含まれます。これらのモデルはそれぞれ膨大な相互作用を伴い、固有のセキュリティやプライバシーへの影響を保持しています。遠隔医療のカテゴリーは以下のように分類されます。
- コミュニケーション: ビデオ診療や受診予約の管理など。
- ライフスタイル・モニタリング: 体重減少の管理など。
- 非クリティカル(非緊急)・モニタリング: 患者のお薬の服用状況(服薬アドヒアランス)や行動パターンの把握など。
- クリティカル(緊急・重要)・モニタリング: 血糖値や転倒検知などの重要パラメータの監視。
しかし、医療提供の構造自体が変化する一方で、この新しい「患者中心の環境」はサイバーセキュリティ専門家の統制が及びにくい場所にあります。遠隔医療の重要性が高まれば高まるほど、セキュリティ侵害が発生した際の患者データの機密性はより深刻な問題となります。新たなリスクとしては、脆弱なネットワークやシステムへの接続、管理されていないデータストレージ、そしてデータの斬新な利用(あるいは悪用)手法などが挙げられます。また、リスクプロファイルも変化しています。たとえば「ペースメーカー」のような機器は安全上のリスク(生命への危険)が高く、プライバシーリスクは低めですが、一方で「医療画像」などは安全上のリスクは低いものの、プライバシーリスクが非常に高くなる傾向にあります。
さらに、攻撃者は常に「好機」を狙っています。ワース氏によると、技術やインフラのあらゆる移行期は不正行為を行う絶好のチャンスであり、遠隔医療の導入も例外ではありません。「私たちが医療の提供モデルを変えるとき、悪者たちもそれをじっと見ているのです」。また、犯罪目的ではないアクター(企業など)によるプライバシーリスクも問題視されています。一部のウェアラブルデバイスは、不適切な設計や軽率なデータ共有により、重大なプライバシー上の懸念を引き起こしています。消費者に選択権があるとはいえ、自分たちの選択がもたらすトレードオフ(代償)を常に理解できているとは限りません。「時には、サービスを提供する企業そのものが敵(リスク)になることもあるのです」とワース氏は述べます。
遠隔医療における防御策(セーフガード)は環境によって異なります。
- 在宅環境(ホームセッティング): セキュリティ専門家は現在のセキュリティ能力を評価し、設計管理が適切に行われているかを確認し、市販後管理計画(ポストマーケット・マネジメントプラン)を確立する必要があります。監査、エンドツーエンド(終端間)暗号化、二要素認証、およびデバイス固有の識別子(UDI)の実装によって、真正性とアイデンティティを担保できます。
- サービスプロバイダー側: HIPAAの業務提携契約(BAA)などの契約上の義務付けをはじめ、通信トラフィックのモニタリングやその他の安全措置が必要です。
- 医療提供組織(病院など): 主要な防御策は、監査、コンプライアンス評価、契約管理、トラフィック監視と異常検知、資産管理、そして法令順守です。
しかし、医療機器業界全体のセキュリティ体制を底上げするための大きな機会(標準規格)も存在します。その一つが IEEE 2933-2024 規格です。ワース氏によれば、この規格は医療機器セキュリティの「全体像を網羅している」とのことです。
コメント