よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (7 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.
用語及び参考定義
この文書で使用する用語及びその参考定義を、末尾に示している。
4.
一般原則
医療機器・システムだけでなく、高度化・複雑化した世界中のヘルス IT システムにおける患者等の安
全性を確保する上で、我が国の医療機器においても、TPLC に渡ったサイバーセキュリティ対応の国際的
な調和を図る。
製造販売業者は、広く知られている米国国立標準技術研究所(NIST)サイバーセキュリティフレーム
ワークだけでなく、例えば、医療機器・ヘルス IT 共同セキュリティ計画(Joint Security Plan)のベスト
プラクティス等を利用して、設計・開発の段階においてセキュリティを計画・実現し、次を実施する。
顧客向け文書の作成
規制当局への申請
苦情処理
脆弱性修正
インシデント対応
医療機関等のステークホルダーとの継続的な情報共有及び連携
このためには、次が必要である。
製品のセキュリティポリシー設定
セキュリティの定量的評価、反復試験、侵入試験等の能力向上
これらを支える PSIRT(Product Security Incident Response Team)等の製品セキュリティ体制
の構築
一連のサイバーセキュリティのベースラインとなる活動を定め、QMS の中に定着させる取組み
製造販売業者は、国際整合化の背景及び「共同責任(Shared Responsibility)」における自らの責任を
理解し、サイバーセキュリティベースラインを構築した上で、医療機関、使用者、規制当局及び脆弱性発
見者等のステークホルダーと連携可能な体制を整備する。
サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するための TPLC ア
プローチの原則である。遅滞なく情報が共有されることによって、製造販売業者が脅威を特定し、関連す
るリスクを評価し、それに適宜対応するための能力が最大化する。製造販売業者は、医療機器及び接続す
6
7 / 39
用語及び参考定義
この文書で使用する用語及びその参考定義を、末尾に示している。
4.
一般原則
医療機器・システムだけでなく、高度化・複雑化した世界中のヘルス IT システムにおける患者等の安
全性を確保する上で、我が国の医療機器においても、TPLC に渡ったサイバーセキュリティ対応の国際的
な調和を図る。
製造販売業者は、広く知られている米国国立標準技術研究所(NIST)サイバーセキュリティフレーム
ワークだけでなく、例えば、医療機器・ヘルス IT 共同セキュリティ計画(Joint Security Plan)のベスト
プラクティス等を利用して、設計・開発の段階においてセキュリティを計画・実現し、次を実施する。
顧客向け文書の作成
規制当局への申請
苦情処理
脆弱性修正
インシデント対応
医療機関等のステークホルダーとの継続的な情報共有及び連携
このためには、次が必要である。
製品のセキュリティポリシー設定
セキュリティの定量的評価、反復試験、侵入試験等の能力向上
これらを支える PSIRT(Product Security Incident Response Team)等の製品セキュリティ体制
の構築
一連のサイバーセキュリティのベースラインとなる活動を定め、QMS の中に定着させる取組み
製造販売業者は、国際整合化の背景及び「共同責任(Shared Responsibility)」における自らの責任を
理解し、サイバーセキュリティベースラインを構築した上で、医療機関、使用者、規制当局及び脆弱性発
見者等のステークホルダーと連携可能な体制を整備する。
サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するための TPLC ア
プローチの原則である。遅滞なく情報が共有されることによって、製造販売業者が脅威を特定し、関連す
るリスクを評価し、それに適宜対応するための能力が最大化する。製造販売業者は、医療機器及び接続す
6
7 / 39