よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (24 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.6.2.
6.6.2.1
TPLC における考慮事項
設計・開発段階
製造販売業者は、TPLC に関するリスクマネジメント原則(5.2)に従って、サードパーティ製ソフトウ
ェアの提供業者の倒産や買収による突然のサポート停止等を含め、脆弱性発生によるリスクがあること
を理解した上で、医療機器製品の品質、有効性及び安全性が確保されるよう、製造販売業者の責任によっ
て、EOS 後まで見据えた計画、及び必要な対策を設計段階で講じる必要がある。サードパーティ製の開
発ツールを含むサードパーティ製ソフトウェア部品のライフサイクルは、医療機器製品のライフサイク
ルに比べ短く、合致していることは少ない。このため、製造販売業者は、サードパーティ製ソフトウェア
部品について、世代を超えた管理又は代替を予め計画することも必要となる。
製造販売業者は、既知の脆弱性に対する最新のアップデートを導入し、脆弱性検査・診断ツール等を利
用して定量的に対応度合いを把握・記録する。また市販後に合理的手段によってアップデートを導入でき
るユーザビリティが考慮された手段を機能として組み込む。
製造販売業者は、医療機器がレガシー段階に移行した場合を想定して、適用可能なファイアウォール等
の補完的対策の仕様及び利用可能性等について予め検討しておく。
製造販売業者は、医療機関の責任部門に対して、いつどのように情報共有するか等、医療機器の脆弱性
等サイバーセキュリティに関する情報共有の戦略を確立し、実施する。
6.6.2.2
サポート段階
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリーを顧客に提供する。製品に直
接関係しない脆弱性についても、一般的に緊急性が高い(例えば、CVSS のベース基準値が 9.0 以上)等
深刻度が高いことが公開されている脆弱性については、製品セキュリティポリシーに従って、当該製品が
関係しないことを示すために、セキュリティアドバイザリーを顧客に提供する。情報提供を行わない場合
は、その理由を含め記録を残し、顧客から提供を求められた場合に応じることができるよう準備する。
製造販売業者は、サードパーティ製ソフトウェア部品の世代交代又は代替が計画されている場合は、十
分な評価を実施し、相互干渉等が発生しないことを確認した上で導入を行う。
製造販売業者は、医療機器が EOL を迎えるまでの間、一般的な不具合等の修正だけでなく、脆弱性の
修正を含むセキュリティアップデートを含め、計画的に予見可能な課題に対応する。
23
24 / 39
6.6.2.1
TPLC における考慮事項
設計・開発段階
製造販売業者は、TPLC に関するリスクマネジメント原則(5.2)に従って、サードパーティ製ソフトウ
ェアの提供業者の倒産や買収による突然のサポート停止等を含め、脆弱性発生によるリスクがあること
を理解した上で、医療機器製品の品質、有効性及び安全性が確保されるよう、製造販売業者の責任によっ
て、EOS 後まで見据えた計画、及び必要な対策を設計段階で講じる必要がある。サードパーティ製の開
発ツールを含むサードパーティ製ソフトウェア部品のライフサイクルは、医療機器製品のライフサイク
ルに比べ短く、合致していることは少ない。このため、製造販売業者は、サードパーティ製ソフトウェア
部品について、世代を超えた管理又は代替を予め計画することも必要となる。
製造販売業者は、既知の脆弱性に対する最新のアップデートを導入し、脆弱性検査・診断ツール等を利
用して定量的に対応度合いを把握・記録する。また市販後に合理的手段によってアップデートを導入でき
るユーザビリティが考慮された手段を機能として組み込む。
製造販売業者は、医療機器がレガシー段階に移行した場合を想定して、適用可能なファイアウォール等
の補完的対策の仕様及び利用可能性等について予め検討しておく。
製造販売業者は、医療機関の責任部門に対して、いつどのように情報共有するか等、医療機器の脆弱性
等サイバーセキュリティに関する情報共有の戦略を確立し、実施する。
6.6.2.2
サポート段階
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリーを顧客に提供する。製品に直
接関係しない脆弱性についても、一般的に緊急性が高い(例えば、CVSS のベース基準値が 9.0 以上)等
深刻度が高いことが公開されている脆弱性については、製品セキュリティポリシーに従って、当該製品が
関係しないことを示すために、セキュリティアドバイザリーを顧客に提供する。情報提供を行わない場合
は、その理由を含め記録を残し、顧客から提供を求められた場合に応じることができるよう準備する。
製造販売業者は、サードパーティ製ソフトウェア部品の世代交代又は代替が計画されている場合は、十
分な評価を実施し、相互干渉等が発生しないことを確認した上で導入を行う。
製造販売業者は、医療機器が EOL を迎えるまでの間、一般的な不具合等の修正だけでなく、脆弱性の
修正を含むセキュリティアップデートを含め、計画的に予見可能な課題に対応する。
23
24 / 39