よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (15 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
するための対応を可能にするものとして位置づけられる。このため、使用するソフトウェアのサプライ
ヤーとの使用許諾、契約等によって、製造販売業者は、当該ソフトウェア部品の最新の SBOM、EOL
及び End of Support(以下「EOS」という)を把握し、当該医療機器の SBOM には、ソフトウェア及
びそのバージョン、部品間の関連性等を特定可能にする情報を含め(附属書 A「ソフトウェア部品表
(SBOM)の扱い」参照)
、製品のアップグレード等の計画の根拠とする。
注記 SBOM 及び MDS2 は、医療機器のセキュリティ設計及びリスクマネジメント計画を踏まえた
TPLC に関する網羅的な顧客向け文書となる。SBOM 及び MDS2 は、製品導入の検討にあたっ
て開示を求められる場合もある。
5.6.
規制当局への申請に関する文書
製造販売業者は、規制当局への申請に際し、申請予定の医療機器に関するサイバーセキュリティの対策
状況に関して、関係法令等に従って、必要な文書を提出する。
6.
市販後の考慮事項
医療機器に対するサイバー攻撃及び脆弱性の影響は、時間経過に伴って変化する。医療機器の脆弱性評
価に利用する CVSS スコアが継続的なアセスメントの過程で小さくなる(影響が少ないと判断される)
こともあれば、逆に容易に悪用される可能性が高いことが判明することもある。つまり市販前の設計段階
で実施したセキュリティ対策では、リスクが受容可能な状態を適切に維持できない場合がある。このた
め、製造販売業者は、医療機器のサイバーセキュリティに係る対応として、医薬品医療機器等法に基づく
不具合等報告(サイバーセキュリティ上の脆弱性に起因する健康被害の発生のおそれのある事象に係る
報告も含む)その他の市販後安全対策を実施する他、IPA(独立行政法人情報処理推進機構)その他のサ
イバーセキュリティに関係する行政機関への報告を行うことに加え、ISAO、CERT(Computer Emergency
Response Team)
、脆弱性発見者等を含めた製品ライフサイクルの市販後プロセスに関与する全てのステ
ークホルダーと連携したアプローチ(6.1~6.6)を行う。
6.1.
意図する使用環境における機器の運用
医療機関は、安全管理ガイドラインにより、医療機器が接続される施設の IT インフラを開発し、サイ
バーセキュリティを確保するために、リスクマネジメントシステムの採用に加え、全体的なセキュリティ
体制の構築を義務付けられている。このため、製造販売業者は、自らの責任範囲を明確にして、医療機関
におけるサイバーセキュリティを確保するために、医療機器を医療機関へ導入する際の求めに応じて、医
療機器製品のシステム構成図、SBOM 及び MDS2 等の顧客向け文書を提供する。
14
15 / 39
ヤーとの使用許諾、契約等によって、製造販売業者は、当該ソフトウェア部品の最新の SBOM、EOL
及び End of Support(以下「EOS」という)を把握し、当該医療機器の SBOM には、ソフトウェア及
びそのバージョン、部品間の関連性等を特定可能にする情報を含め(附属書 A「ソフトウェア部品表
(SBOM)の扱い」参照)
、製品のアップグレード等の計画の根拠とする。
注記 SBOM 及び MDS2 は、医療機器のセキュリティ設計及びリスクマネジメント計画を踏まえた
TPLC に関する網羅的な顧客向け文書となる。SBOM 及び MDS2 は、製品導入の検討にあたっ
て開示を求められる場合もある。
5.6.
規制当局への申請に関する文書
製造販売業者は、規制当局への申請に際し、申請予定の医療機器に関するサイバーセキュリティの対策
状況に関して、関係法令等に従って、必要な文書を提出する。
6.
市販後の考慮事項
医療機器に対するサイバー攻撃及び脆弱性の影響は、時間経過に伴って変化する。医療機器の脆弱性評
価に利用する CVSS スコアが継続的なアセスメントの過程で小さくなる(影響が少ないと判断される)
こともあれば、逆に容易に悪用される可能性が高いことが判明することもある。つまり市販前の設計段階
で実施したセキュリティ対策では、リスクが受容可能な状態を適切に維持できない場合がある。このた
め、製造販売業者は、医療機器のサイバーセキュリティに係る対応として、医薬品医療機器等法に基づく
不具合等報告(サイバーセキュリティ上の脆弱性に起因する健康被害の発生のおそれのある事象に係る
報告も含む)その他の市販後安全対策を実施する他、IPA(独立行政法人情報処理推進機構)その他のサ
イバーセキュリティに関係する行政機関への報告を行うことに加え、ISAO、CERT(Computer Emergency
Response Team)
、脆弱性発見者等を含めた製品ライフサイクルの市販後プロセスに関与する全てのステ
ークホルダーと連携したアプローチ(6.1~6.6)を行う。
6.1.
意図する使用環境における機器の運用
医療機関は、安全管理ガイドラインにより、医療機器が接続される施設の IT インフラを開発し、サイ
バーセキュリティを確保するために、リスクマネジメントシステムの採用に加え、全体的なセキュリティ
体制の構築を義務付けられている。このため、製造販売業者は、自らの責任範囲を明確にして、医療機関
におけるサイバーセキュリティを確保するために、医療機器を医療機関へ導入する際の求めに応じて、医
療機器製品のシステム構成図、SBOM 及び MDS2 等の顧客向け文書を提供する。
14
15 / 39