米共和党のトム・コットン上院議員はこのほど、中国製医療機器に潜むサイバーセキュリティ上の脆弱性に対応するため、審査体制の強化を求めた。

コットン氏は5月26日、米食品医薬品局（FDA）の長官代行に書簡を送り、2023年3月29日以前に承認された中国製医療機器について、改めて審査するよう要請した。

書簡では、「アメリカ人のプライバシーを守り、健康情報が敵対国のサイバー犯罪者の手に渡らないようにすることは極めて重要だ」と指摘している。

コットン氏は、中国製の医療機器が不正アクセスを受けた場合、敵対的な外国勢力が機密性の高い個人の健康データを入手する恐れがあると警告した。その結果、アメリカの患者が身分盗用、詐欺、脅迫、さらには重大な誤診といったリスクにさらされる可能性があるという。

台湾国防安全研究院・戦略資源研究所の蘇紫雲所長は、インターネットに接続できる情報機器は、さまざまな分野の情報漏えいにつながる可能性があると指摘する。

「医療機器が患者の検査や記録を行う際には、個人情報や身体の状態に関する情報を取得する。それが指定された場所に送信されることになる。対象が重要人物であれば、その人の健康状態が外部に流出することになる」

コットン氏は、中国製のインターネット接続機能を持つ医療機器には安全上の脆弱性があり、不正アクセスを受ければ、アメリカの国家安全保障と公衆衛生の安全を直接脅かすと述べた。

蘇氏はまた、中共がこうした大量の医療データを利用し、アメリカ人の健康状態を分析する可能性があると指摘した。

「国民全体の疾病状況や医療支出などを把握し、アメリカの社会構造を評価することもできる。これは広い意味での情報活動に当たる」

中国の医療機器研究所で長年勤務していたという元技術者は、情報を盗み取ることが重要な業務の一つだったと証言した。

元医療機器技術者の古霄天さん（仮名）は、次のように語った。

「私は中国国内の医療機器研究所で長年働いていた。研究所で最も重要な部門は情報センターだった。中国の医療用品がまだ非常に遅れていた時期、すべての研究はさまざまな手段で情報を盗むことに依存していた。海外特許の収集から各種国際展示会への参加まで、情報を盗み取ることは研究所の重要な業務の一つだった」

古さっmによると、医療機器の普及を通じて患者情報を収集する目的は、一つには研究部門にデータベースを提供することにある。もう一つは、個人の健康状態を把握するためだという。将来的な必要に応じ、遠隔操作で患者の診療記録を変更することもあるという。

コットン氏は、中国製のネット接続型患者モニター「Contec CMS8000」の事例にも言及した。2025年1月30日、FDAと米サイバーセキュリティ・インフラ安全保障庁は、この機器に関するサイバーセキュリティ上の脆弱性について、関係者に通知していた。

FDAによると、この装置はインターネットに接続されると、個人を特定できる患者の健康情報を自動的に取得する仕組みになっているという。こうした機密性の高い医療情報が流出すれば、大規模な身分盗用、保険詐欺、脅迫、アメリカの患者を標的にした各種詐欺につながる恐れがある。

蘇氏は、リスクは米国民の健康、医療資源、重要な政治家や企業幹部の医療上のプライバシーに及ぶと述べた。

「これは、要人が中国を訪問する際、情報漏えいを防ぐために持ち物の管理を徹底するのと同じ問題だ」

CISAも、「Contec CMS8000」について、認証を受けていない利用者が、医療機関側の知らないうちに遠隔で装置を操作できる設定になっていると警告した。これにより、中共側の悪意ある第三者が装置や表示データを直接操作し、誤診を引き起こす可能性があるという。

古さんは、診療記録の変更はすべて機密扱いだったと述べた。

「情報センターは指示に従って操作するだけで、理由を尋ねることはない。医師の能力を示すための場合もあれば、特定の人物の人生の行方を変えるためである可能性もある特定の人物の治療や命に関わる判断に影響を及ぼすための場合もある」

コットン氏によると、FDAは2023年以降、医療機器メーカーに対し、販売許可を得るために、強化されたサイバーセキュリティ対策を実施していることの証明を求めるようになった。しかし、この要件は、強化された規制が発効する前にすでに販売されている医療機器には適用されない。

そのため、コットン氏は、2023年3月29日以前に販売が認められた中国製医療機器を改めて審査するよう求めている。また、安全上の懸念がある医療機器からアメリカ国民を守るため、さらなる措置を講じるべきだと訴えた。