HOMEIPAについて新着情報プレス発表【「医療機器における情報セキュリティに関する調査(2013年度)」報告書を公開】

本文を印刷する

IPAについて

プレス発表【「医療機器における情報セキュリティに関する調査(2013年度)」報告書を公開】

~医療機器に対する情報セキュリティの脅威、医療機器業界関係者等の取組みの現状等について~

2014年4月16日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、国内外における医療機器のセキュリティ関連情報を調査した「2013年度 医療機器における情報セキュリティに関する調査」報告書を、2014年4月16日(水)からIPAのウェブサイトで公開しました。

URL: http://www.ipa.go.jp/security/fy25/reports/medi_sec/index.html

 情報技術の発達によって、家電製品をはじめ、様々な製品にコンピュータやソフトウェアが組み込まれるようになり、IPAでは2006年から、組み込み機器における情報セキュリティに関する調査に取り組んでいます。これまで情報家電や自動車等を対象にしてきましたが、昨今、医療機器でも他の組込み機器同様に、機器の小型化、携帯化、汎用技術の利用が進展していることや、一部の医療機器では近距離無線等の通信を利用した機能が搭載されるなど、他のIT化された組込み機器でも発生した情報セキュリティ上の脅威が顕在化する可能性があることから、2013年度は医療機器を対象としました。
 海外では2008年頃から情報セキュリティ上の脅威が顕在化しており、調査では、事例として内外の脅威、医療機器における情報セキュリティへの取組みを収集しました。以下の表1は収集した事例の抜粋です。
表1:医療機器における情報セキュリティの事例
事例 分類 脅威の種類 現象の概要 場所
胎児モニタへのウイルス感染 実例 マルウェア感染 病院で管理されていた胎児モニタがウイルスに感染しレスポンスが遅くなった。 米国
医療機器へのウイルス感染 実例 マルウェア感染 院内ネットワークに接続された端末がUSBメモリからウイルスに感染し、それが病院内に広がったため、診療業務に影響が出た。 日本
インターネットからアクセス可能な医療機器 実例 設定不備 大学で管理されていた本来はインターネットに繋がっていてはならない医療機器にインターネットからアクセス可能なものが見つかった。 米国
変更できないパスワードを持つ医療機器 実例 設定不備 40ベンダ、300種の医療機器のパスワード変更が出来ない設定になっており、米国機関から警告が出された。 米国
ペースメーカーの脆弱性 研究事例 ハッキング ペースメーカーの脆弱性を突いた攻撃を行うことで、患者情報の取得と機器の誤動作が出来た。 米国
インシュリンポンプの脆弱性 研究事例 ハッキング インシュリンポンプの持つ無線機能への攻撃によって、投与されるインシュリン量の設定を変更できた。 米国
 また、今回の調査では、医療機器業界関係者や医療従事者等に対して、医療機器における情報セキュリティへの取り組みの現状と将来予測についてヒアリングを実施しました。その結果、医療機器の提供側ではセキュリティガイドの策定やプライバシー保護に関する標準化など既に情報セキュリティに関する検討が進められているものの、医療従事者側では情報セキュリティに関する脅威の認識、対策への意識にばらつきがあることが分かりました。これは、医療現場では眼前の治療活動が優先され、医療機器や医療システムへのセキュリティ対策にコストを割くことが難しいという事情があると言えます。

医療機器および、その情報セキュリティの現状
 本調査を通じ、これからの高齢化社会への対応や、より高度な医療技術の発展のために、医療機器・システムのIT化やネットワークを利用した連携についての技術革新は、既に医療機器企業や大学等によって進められていることがわかりました。しかしその一方で、医療機器における情報セキュリティへの意識とその対策は他の組込み機器と比べると、決して進んでいるとはいえないことが伺えました。

医療機器・サービスの今後
 今後、(1)安全・安心な医療行為提供のための医療機器・サービスの充実、(2)健康維持・促進等を目的に個人利用が可能で、より便利な機能をもった機器・サービスの普及、が見込まれます。こうした機器、サービスの充実に伴い、これまでネットワークに繋がることで脅威が顕在化した、情報家電や自動車と同様のセキュリティリスクが増加することが考えられます。

対策にあたって
 他の組込みシステムにおけるセキュリティ脅威や対策を参考としながら、活用できる技術や情報を共有しつつ、医療機器独自の課題等についての取り組みを進めていくことが必要です。

 IPAでは今後、各業界団体と連携を取りながら、開発者のみならず医療関係従事者、機器の利用者やサービス事業者を対象にセキュリティ意識向上のための活動を継続していく方針です。
 調査報告書の公表を通して、医療機器や医療システムのIT化に伴って必要とされる、安全・安心な医療機器・システムの開発に寄与し、医療機器のセキュリティ上のリスク低減に繋がることを期待します。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 中野/金野

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。