セキュリティ診断導入事例 アイリス株式会社様

アイリス株式会社 様

アイリス株式会社は「みんなで共創できる、ひらかれた医療をつくる。」をミッションに掲げ、2017年に創業。

現役医師である代表・沖山をはじめ、医療従事者、厚生労働省・経済産業省ほかの行政出身者、AI医療領域に特化したデータサイエンティスト、大手医療機器メーカー出身者など多数のプロフェッショナルが揃い、深層学習技術（AI技術）を活用し、医師のもつ匠の技をデジタル化するAI医療機器を開発しています。

脆弱性診断サービスを依頼することになった経緯、目的、期待したことをお聞かせください。

医療機器の製造販売業者である当社は3省2ガイドライン（※1）への取り組みや技術的な安全対策措置の一環としてセキュリティ対策を行なってきました。

また、医療機器のサイバーセキュリティはIMDRFガイダンス（国際医療機器規制当局フォーラムが発行した「医療機器サイバーセキュリティの原則及び実践」）（※2）を踏まえ、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました（※3）。
さらに、「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」（※4）や医療機器のセキュリティ規格である「JIS T 81001-5-1:2023」では、設計・開発の検証及びバリデーション段階において、セキュリティ試験を採用しセキュリティコントロールが実施されていることの証明やセキュリティ対応状況を評価することなどを求めています。これらの経緯から当社は薬機法に対応するため外部の診断サービスを利用しています。

(※1)：医療に関する情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドライン。
厚生労働省によるものと、経済産業省・総務省によるものの2つで構成。

(※2)：Principles and Practices for Medical Device Cybersecurity

(※3)：厚生労働省：医療機器基本要件基準告示改正の施行通達（2023年3月31日）

(※4)：厚生労働省：医療機器のサイバーセキュリティ導入に関する手引書の改訂について（2023年3月31日）

脅威軽減試験・脆弱性検査・侵入試験については第三者機関による診断が好ましいと考えており、これらの結果がバリデーションとして有効且つ、製品の安全性を担保します。 また、IoT機器などのハードウェアに関する診断サービスを国内で提供している事業者様は多くないため、サイバーディフェンス研究所の診断には期待していました。

弊社の脆弱性診断サービスを利用することになった決め手をお聞かせください。

自社開発のハードウェア機器及びWebシステム双方の関係性を考慮した脆弱性診断を実施いただけること、技術力があり費用対効果が高く、スケジュールの調整に融通が効くことです。

弊社の脆弱性診断サービスを利用した感想をお聞かせください。

高度な技術力があり費用対効果も高いと感じています。また、開発の状況にあわせてスケジュールを融通してくださること、ありがたく思っています。

弊社へのご要望をお聞かせください。

通年契約などあらゆるオプションがあると検討の幅が広がりそうです。

貴社の今後の展望をお聞かせください。

最初のプロダクトとして、咽頭（のど）の画像と問診情報等をAIが解析し、感染症の診断に用いるAI医療機器を開発しました。 これにより、医師であれば当たり前に診察をする咽頭の情報を、AIが学習できる形でデータベース化することに成功しました。

このようにして出来上がったデータベースは、咽頭に症状が出る様々な病気の診断に繋がる可能性を持った、我々だけでなく全世界にとって、医学研究の貴重な財産と考えています。

私たちはデータがより多く集まり、大学や行政、自治体、そして医療現場と連携しながら、新しい豊かな医療が生まれていく、その仕組みづくりに真剣に取り組んでいます。 医用工学の新たな基礎技術の開発そのものにも取り組むことを通じて、より良い未来の医療が実現するその日まで挑戦を続けて参りたいと思います。