よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (5 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
リティの原則及び実践に関するガイダンスの公表について(周知依頼)」
(令和 2 年 5 月 13 日付け薬生機
審発 0513 第1号・薬生安発 0513 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安
全対策課長連名通知)によって、我が国においても、医療機器製造販売業者に対して IMDRF ガイダンス
を導入することが示された。無線、インターネット及びネットワーク接続機器の使用の増加に加え、サイ
バー攻撃の高度化に伴い、製造販売業者は、市販前には、医療機器のサイバー攻撃に対する耐性が確保さ
れるよう、設計及び開発を行い、市販後には、意図する使用環境における機器の運用、情報共有、脆弱性
の修正、インシデントの対応等を適切に行う必要がある。また、医療現場においても適正な管理がなされ
るよう、製造販売業者は、医療機関、使用者、規制当局及び脆弱性発見者等のステークホルダーと必要な
情報共有等を行い積極的に連携していくことが求められている。
IMDRF では、IMDRF ガイダンス N60 を基本として、より実践的なアプローチを規定した追補 N70
「Principles and Practices for the Cybersecurity of Legacy Medical Devices」(レガシー医療機器のサ
イバーセキュリティの原則及び実践)及び追補 N73「Principles and Practices for Software Bill of
Materials for Medical Device Cybersecurity」
(医療機器のサイバーセキュリティのためのソフトウェア
部品表の原則及び実践)が取りまとめられている(以下、これら2つの追補を含めて「IMDRF 追補ガイ
ダンス」という)。この文書は、これらの IMDRF 追補ガイダンスの内容を踏まえ、さらに国内運用にお
ける考慮事項を加えて改訂し、製造販売業者が、製品ライフサイクル全体を通じてサイバーセキュリティ
対応を行う際のステークホルダーとの情報共有及び連携における販売業者、貸与業者及び修理業者との
協力も含めた、IMDRF ガイダンスの国内導入における手引きを示している。
なお、この文書は IMDRF 等における検討の動向に沿って、適宜改訂又は追補等が行われることに留意
されたい。
医療機関等の医療情報システムに関しては、厚生労働省から「医療情報システムの安全管理に関するガ
イドライン」(第 1 版が平成 17 年 3 月に示され、情勢に応じて改定されている。以下「安全管理ガイド
ライン」という)が発出されている。情報セキュリティの対策は、この文書に示したものに限らず、安全
管理ガイドライン及び情報セキュリティマネジメントシステム(ISMS)の実践等によって適切な対策を
取るべきことに十分留意することが必要である。
この文書は、IMDRF ガイダンスの内容を基本としているが、国立研究開発法人日本医療研究開発機構
(AMED)医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る
課題抽出等に関する研究(研究開発代表者:公益財団法人医療機器センター専務理事 中野壮陛)」及び
厚生労働行政推進調査事業「新たな形態の医療機器等をより安全かつ有効に使用するための市販後安全
対策のあり方に関する研究(研究開発代表者:国立医薬品食品衛生研究所医療機器部第二室室長 宮島敦
子)」の分担課題「医療機器サイバーセキュリティの市販後安全対策に関する研究」における検討内容を
踏まえ、我が国の状況にあわせて必要な編纂をしている。なお、医療機関における医療機器のサイバーセ
キュリティに係る対応については、当該事業の検討結果を基に別途、取りまとめられる予定である。
4
5 / 39
(令和 2 年 5 月 13 日付け薬生機
審発 0513 第1号・薬生安発 0513 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安
全対策課長連名通知)によって、我が国においても、医療機器製造販売業者に対して IMDRF ガイダンス
を導入することが示された。無線、インターネット及びネットワーク接続機器の使用の増加に加え、サイ
バー攻撃の高度化に伴い、製造販売業者は、市販前には、医療機器のサイバー攻撃に対する耐性が確保さ
れるよう、設計及び開発を行い、市販後には、意図する使用環境における機器の運用、情報共有、脆弱性
の修正、インシデントの対応等を適切に行う必要がある。また、医療現場においても適正な管理がなされ
るよう、製造販売業者は、医療機関、使用者、規制当局及び脆弱性発見者等のステークホルダーと必要な
情報共有等を行い積極的に連携していくことが求められている。
IMDRF では、IMDRF ガイダンス N60 を基本として、より実践的なアプローチを規定した追補 N70
「Principles and Practices for the Cybersecurity of Legacy Medical Devices」(レガシー医療機器のサ
イバーセキュリティの原則及び実践)及び追補 N73「Principles and Practices for Software Bill of
Materials for Medical Device Cybersecurity」
(医療機器のサイバーセキュリティのためのソフトウェア
部品表の原則及び実践)が取りまとめられている(以下、これら2つの追補を含めて「IMDRF 追補ガイ
ダンス」という)。この文書は、これらの IMDRF 追補ガイダンスの内容を踏まえ、さらに国内運用にお
ける考慮事項を加えて改訂し、製造販売業者が、製品ライフサイクル全体を通じてサイバーセキュリティ
対応を行う際のステークホルダーとの情報共有及び連携における販売業者、貸与業者及び修理業者との
協力も含めた、IMDRF ガイダンスの国内導入における手引きを示している。
なお、この文書は IMDRF 等における検討の動向に沿って、適宜改訂又は追補等が行われることに留意
されたい。
医療機関等の医療情報システムに関しては、厚生労働省から「医療情報システムの安全管理に関するガ
イドライン」(第 1 版が平成 17 年 3 月に示され、情勢に応じて改定されている。以下「安全管理ガイド
ライン」という)が発出されている。情報セキュリティの対策は、この文書に示したものに限らず、安全
管理ガイドライン及び情報セキュリティマネジメントシステム(ISMS)の実践等によって適切な対策を
取るべきことに十分留意することが必要である。
この文書は、IMDRF ガイダンスの内容を基本としているが、国立研究開発法人日本医療研究開発機構
(AMED)医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る
課題抽出等に関する研究(研究開発代表者:公益財団法人医療機器センター専務理事 中野壮陛)」及び
厚生労働行政推進調査事業「新たな形態の医療機器等をより安全かつ有効に使用するための市販後安全
対策のあり方に関する研究(研究開発代表者:国立医薬品食品衛生研究所医療機器部第二室室長 宮島敦
子)」の分担課題「医療機器サイバーセキュリティの市販後安全対策に関する研究」における検討内容を
踏まえ、我が国の状況にあわせて必要な編纂をしている。なお、医療機関における医療機器のサイバーセ
キュリティに係る対応については、当該事業の検討結果を基に別途、取りまとめられる予定である。
4
5 / 39