よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (18 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.4.
脆弱性の修正
脆弱性の修正に関連する対応は、患者へのリスクを低減するために必要である。脆弱性による影響は、
初期の段階では明確に評価しきれない場合も多い。しかし、患者への危害が発生する可能性がありそう
で、まだ確信が持てない段階においてもリスク低減のための対策が必要な場合もあることに留意が必要
である。製造販売業者は、製造業者、販売業者、貸与業者及び修理業者と協力し、医療機関と連携して、
遅滞のない修正によって安全確保を行う。修正には、患者への通知を含む広範な対応が含まれる。製造販
売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての機能の追加・変更
がない場合は、都度の薬事承認を受ける必要はないことから、医療現場において、緊急性を伴うサイバー
セキュリティ対策を遅滞なく進めることが可能である。また、脆弱性の修正を行うために必要なプログラ
ム及びファイル等の提供形態は、薬事承認の内容に記載する必要はないと明確化されている。製造販売業
者は、緊急性を伴う場合で、迅速な対応が困難と判断した場合には、一時的な機能の使用停止、設定変更
等の応急的な処置に関する情報をセキュリティアドバイザリーとして医療機関へ提供する。
注記
アップデート等に係る一部変更申請等の取り扱いについては、「医療機器プログラムの取扱い
に関する Q&A について(その 2)」
(平成 27 年 9 月 30 日付け厚生労働省医薬食品局医療機器・
再生医療等製品担当参事官室・監視指導・麻薬対策課事務連絡)の Q20、
「医療機器プログラ
ムの一部変更に伴う軽微変更手続き等の取扱いについて」(平成 29 年 10 月 20 日付け薬生機
審発 1020 第 1 号・厚生労働省医薬・生活衛生局医療機器審査管理課長通知)を参照。
なお、これらの迅速な対応については、医療機器プログラムだけでなく医療機器においても参
考にすることができる。「医療機関を標的としたランサムウェアによるサイバー攻撃について
(注意喚起)」(令和 3 年 6 月 28 日付け厚生労働省政策統括官付サイバーセキュリティ担当参
事官室・医政局研究開発振興課医療情報技術推進室・医薬・生活衛生局医療機器審査管理課・
医薬安全対策課事務連絡)も参照。
当該脆弱性の悪用を原因とするインシデントを含む安全性情報を入手した場合には、製造販売業者は、
規制当局等への不具合等報告(6.5 「インシデントへの対応」参照)の要否を検討する。
製造販売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての機能の追
加・変更を伴う場合は、セキュリティに関する対策が他の機能、ユーザビリティ及び安全に関連するリス
クコントロール手段を阻害しないこと等を確実に検証し、バリデーションを実施し、一部変更申請等を行
う必要がある。
脆弱性の監視対象の多くを占めるサードパーティ製ソフトウェアコンポーネントの扱いに関しては、
JIS T 2304:2017(医療機器ソフトウェアのライフサイクルプロセス)にリスクマネジメント、構成管理
等に関する詳細な要求事項があり、
これに基づき SBOM の構築及び市販後のアップデート等を考慮する。
SBOM 等サイバーセキュリティに関連する顧客向け文書(5.5「顧客向け文書」参照)は、製品のリリー
スに対して必要に応じて更新する。さらに、在宅医療機器等、実際の使用環境が医療機関の施設内ではな
17
18 / 39
脆弱性の修正
脆弱性の修正に関連する対応は、患者へのリスクを低減するために必要である。脆弱性による影響は、
初期の段階では明確に評価しきれない場合も多い。しかし、患者への危害が発生する可能性がありそう
で、まだ確信が持てない段階においてもリスク低減のための対策が必要な場合もあることに留意が必要
である。製造販売業者は、製造業者、販売業者、貸与業者及び修理業者と協力し、医療機関と連携して、
遅滞のない修正によって安全確保を行う。修正には、患者への通知を含む広範な対応が含まれる。製造販
売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての機能の追加・変更
がない場合は、都度の薬事承認を受ける必要はないことから、医療現場において、緊急性を伴うサイバー
セキュリティ対策を遅滞なく進めることが可能である。また、脆弱性の修正を行うために必要なプログラ
ム及びファイル等の提供形態は、薬事承認の内容に記載する必要はないと明確化されている。製造販売業
者は、緊急性を伴う場合で、迅速な対応が困難と判断した場合には、一時的な機能の使用停止、設定変更
等の応急的な処置に関する情報をセキュリティアドバイザリーとして医療機関へ提供する。
注記
アップデート等に係る一部変更申請等の取り扱いについては、「医療機器プログラムの取扱い
に関する Q&A について(その 2)」
(平成 27 年 9 月 30 日付け厚生労働省医薬食品局医療機器・
再生医療等製品担当参事官室・監視指導・麻薬対策課事務連絡)の Q20、
「医療機器プログラ
ムの一部変更に伴う軽微変更手続き等の取扱いについて」(平成 29 年 10 月 20 日付け薬生機
審発 1020 第 1 号・厚生労働省医薬・生活衛生局医療機器審査管理課長通知)を参照。
なお、これらの迅速な対応については、医療機器プログラムだけでなく医療機器においても参
考にすることができる。「医療機関を標的としたランサムウェアによるサイバー攻撃について
(注意喚起)」(令和 3 年 6 月 28 日付け厚生労働省政策統括官付サイバーセキュリティ担当参
事官室・医政局研究開発振興課医療情報技術推進室・医薬・生活衛生局医療機器審査管理課・
医薬安全対策課事務連絡)も参照。
当該脆弱性の悪用を原因とするインシデントを含む安全性情報を入手した場合には、製造販売業者は、
規制当局等への不具合等報告(6.5 「インシデントへの対応」参照)の要否を検討する。
製造販売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての機能の追
加・変更を伴う場合は、セキュリティに関する対策が他の機能、ユーザビリティ及び安全に関連するリス
クコントロール手段を阻害しないこと等を確実に検証し、バリデーションを実施し、一部変更申請等を行
う必要がある。
脆弱性の監視対象の多くを占めるサードパーティ製ソフトウェアコンポーネントの扱いに関しては、
JIS T 2304:2017(医療機器ソフトウェアのライフサイクルプロセス)にリスクマネジメント、構成管理
等に関する詳細な要求事項があり、
これに基づき SBOM の構築及び市販後のアップデート等を考慮する。
SBOM 等サイバーセキュリティに関連する顧客向け文書(5.5「顧客向け文書」参照)は、製品のリリー
スに対して必要に応じて更新する。さらに、在宅医療機器等、実際の使用環境が医療機関の施設内ではな
17
18 / 39