SafetyとSecurityは両立すべきもの

 治療機器がソフトウエアの書き換えなどによって乗っ取られるリスクもある。2011年8月に米国で開催されたハッカーの祭典では、糖尿病を抱える参加者が、自らが使っている埋め込み型インスリンポンプの無線通信が容易にハッキング可能で、遠方からインスリン投与量を自在に制御できることを示して話題を呼んだ。2013年6月には、医療機器へのサイバー攻撃の防止に本腰を入れるよう、米FDA(食品医薬品局)が医療機器や院内ネットワークのメーカーに勧告を出している。

 そして2015年4月刊の米雑誌「MIT Technology Review」には、手術支援ロボットのハッキングの可能性を示す記事が掲載された。手術支援ロボットが本当にハッキングされれば「患者が死亡してしまう」。メーカーによる医療機器の遠隔保守もハッキングの「back door(裏口)になり得る」という。

 医療・ヘルスケア機器に関してまかり通りっている、「Safety First, Security Second, Efficacy Third」の考え方を改めるべき。深津氏はこう訴える。医療機器は法令による規制が厳しく、結果として「安全性(安定稼働)」を保証するための作業に時間を費やしがち。このことがセキュリティー対策をおろそかにしている側面があるという。「本来は一体のものであるはず」のSafetyとSecurityが相反しているのだ。今後は「セキュリティー確保を前提に機器の性能を引きだす設計が重要になる。医療機器の“IoT化”が急速に進む今が最後のチャンス。医療・ヘルスケア分野を対象とする脆弱性試験の義務化や、確実なリコール体制の確立が欠かせない」とした。