デロイト トーマツ リスクサービス（株）（以下DTRS）は，2017年8月22日より，総合的な医療機器サイバーセキュリティ対策サービスの提供を開始する。
昨今の医療現場では，IoTの機能を備えた医療機器の導入が多くの医療現場に実務的な効果をもたらしている。その一方で，医療機器のインターネット接続によるリスクとして，サイバーセキュリティ対策や患者のプライバシー保護，および適切な機器の制御を行う必要があり，米国では規制対象となっている。
そこでDTRSは，IoT時代のサイバーリスクや規制の変化に対し，グローバル水準の医療機器サイバーセキュリティ対策を実現する総合的なサービスの提供を開始する。本サービスを通じ，医療機器メーカー・医療提供団体・患者自身が安全に利用できる，理想的な医療環境の実現を支援する。

●総合的な医療機器サイバーセキュリティ対策サービス概要

医療機器メーカー，医療機関，医療提供団体におけるサイバーセキュリティ体制の成熟度に合わせて，その強化に向けた支援を行う（図表）。
具体的には，米国における規制への対応および製品レベルのセキュリティ対応に向け，組織レベルの枠組みと関連プロセスの評価を行う医療機器セキュリティプログラムの成熟度評価や，脆弱性を特定するための自動ツールと手動によるレビューを同時に行う堅牢なテクニカルセキュリティテスト等を提供する。また，組織で開発，販売，保守されたコネクテッド製品のセキュリティ確保のための医療機器メーカーにおけるエンタープライズレベルのフレームワークと関連プロセスの成熟度を評価することにより，患者のプライバシー保護や適切な機器の制御への対応も支援する。さらに，直近の対応だけでなく，医療機関において，対策に数年程度を要するセキュリティガバナンスの整備や，さらなる高度化・効率化や脅威の自動検知化等，中長期的な段階的取組みについても支援する。医療機器，病院内のシステム，医療機関のネットワークに関する総合的な医療機器サイバーセキュリティ対策を提供する。
DTRSは，本サービス提供に際しデロイトUSと連携する。デロイトUSは医療サイバーセキュリティの専門部隊MeDSS（Medical Device Security and Safety）を擁し，医療機関と医療機器メーカー双方への広範なコンサルティングサービスの提供，業界団体との連携，ベンダーとの協業等の活動実績を有し，特に直近の課題である米国における規制への対応について強みを持っている。

図表：サイバーセキュリティ体制の成熟度に合わせた各種サービス

●「総合的な医療機器サイバーセキュリティ対策サービス」 主なサービスメニュー

1.　医療機器製品セキュリティプログラムの成熟度評価
2.　医療機器製品セキュリティリスクアセスメント
3.　セキュリティガバナンスモデルの確立支援
4.　医療機器製品テクニカルセキュリティテスト
5.　医療機器製品認可取得支援
6.　医療機器製品セキュリティプログラムの設計，開発，実装

●規制対応だけでなくガバナンスの観点から重視される医療機器におけるサイバーセキュリティ

日本では，医療分野に特化したサイバーセキュリティに関する情報を共有する官民連携の組織の整備やサイバーセキュリティ規制が諸外国に比べ進んでいる状況ではないとされている。他方，米国は，食品医薬品局（FDA：Food and Drug Administration）が発行するガイドラインによって，医療機器のサイバーリスク管理規制への対応が求められているなどの背景もあり，サイバーセキュリティ規制が諸外国に比べ進んでいる。そのため日本の医療機器メーカーが米国で事業を行う際，米国水準のサイバーセキュリティ規制への対応が遅れ，医療機器の販売停止や回収といった処分を受ける状況に直面している。
すでに規制対応を進めている米国企業においては，医療機器におけるサイバーセキュリティの脆弱性が指摘されたことで，株価が急落した事例が発生している。医療機器におけるサイバーセキュリティの脆弱性は，情報漏えいのリスクや患者の命に係わる重大なリスクを招く恐れがあり，規制対応のみならず，社内のガバナンス体制の構築も重視され始めている。