よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (12 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
・医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能
な、製造販売業者による医療機器セキュリティ開示書(Manufacturer Disclosure
Statement for Medical Device Security:MDS2)
②保守、サービスに関する役割・責任の明確化
医療機器の保守・サービスは医療機関の責任において行うことになり、その一部を委託
する場合でも管理責任の主体はあくまでも医療機関になります。医療機関等の管理者は、
患者に対して、受託する事業者の助けを借りながら、
「説明責任」、
「管理責任」、
「維持・
改善の責任」及び「善後策を講じる責任」を果たす義務を負います。医療機器事業者は
医療機関がこれら「説明責任」「管理責任」「維持・改善の責任」及び「善後策を講じる
責任」を果たせるよう情報の提供や対応の提案などを行います。万一、サイバーセキュ
リティに関するインシデント発生等の何らかの不都合な事態が生じた場合においても同
様に、受託する事業者と連携しながら「説明責任」及び「善後策を講ずる責任」を果た
す必要がありますので、受託する事業者との契約において、受託する事業者の義務を明
記することが必要です。医療機器の納入前に締結し且つ定期的に見直す保守契約には、
インシデント対応中に医療機器事業者及びその他の事業者が遵守すべき事項を記載する
必要があります。
③インシデント発生時の対応手順の確立
医療機関は、サイバーセキュリティのインシデントを処理するためのポリシー、インシ
デントを緩和又は解決し、内外の責任関係者に関連情報を開示するための方法を予め確
立する必要があります。その中には、脆弱性の緩和に関する計画とリソース管理につい
ての検討を含みます。
4.3 医療機器の導入後の管理、運用
①意図する使用環境における機器の運用
1) リスクマネジメントの実施
医療機関では、自施設の IT インフラに接続される医療機器の安全性、性能及びサイバ
ーセキュリティに対応するために、リスクマネジメントを実施することが求められ、以
下のステージで適用することが推奨されます。
・IT インフラの初期開発時
・既存 IT ネットワークへの新規医療機器の統合時
・アップデート又は改良によるオペレーティングシステム、IT ネットワーク又は医療
機器自体のソフトウェア及びファームウェアの変更時
2) サイバーセキュリティ対策
医療機関は、リスクマネジメントに加え、全体的なセキュリティ体制を維持するために、
以下に例示したような一般的なサイバーセキュリティの対応をすることが推奨されます。
なお、これらは救急時等を含めた臨床使用状況を考慮して実施する必要があります。
[サイバーセキュリティ対策の例]
・医療機器又はネットワークアクセスポイントへの不正アクセスを防ぐための物理的
又は論理的セキュリティ
10
12 / 22
な、製造販売業者による医療機器セキュリティ開示書(Manufacturer Disclosure
Statement for Medical Device Security:MDS2)
②保守、サービスに関する役割・責任の明確化
医療機器の保守・サービスは医療機関の責任において行うことになり、その一部を委託
する場合でも管理責任の主体はあくまでも医療機関になります。医療機関等の管理者は、
患者に対して、受託する事業者の助けを借りながら、
「説明責任」、
「管理責任」、
「維持・
改善の責任」及び「善後策を講じる責任」を果たす義務を負います。医療機器事業者は
医療機関がこれら「説明責任」「管理責任」「維持・改善の責任」及び「善後策を講じる
責任」を果たせるよう情報の提供や対応の提案などを行います。万一、サイバーセキュ
リティに関するインシデント発生等の何らかの不都合な事態が生じた場合においても同
様に、受託する事業者と連携しながら「説明責任」及び「善後策を講ずる責任」を果た
す必要がありますので、受託する事業者との契約において、受託する事業者の義務を明
記することが必要です。医療機器の納入前に締結し且つ定期的に見直す保守契約には、
インシデント対応中に医療機器事業者及びその他の事業者が遵守すべき事項を記載する
必要があります。
③インシデント発生時の対応手順の確立
医療機関は、サイバーセキュリティのインシデントを処理するためのポリシー、インシ
デントを緩和又は解決し、内外の責任関係者に関連情報を開示するための方法を予め確
立する必要があります。その中には、脆弱性の緩和に関する計画とリソース管理につい
ての検討を含みます。
4.3 医療機器の導入後の管理、運用
①意図する使用環境における機器の運用
1) リスクマネジメントの実施
医療機関では、自施設の IT インフラに接続される医療機器の安全性、性能及びサイバ
ーセキュリティに対応するために、リスクマネジメントを実施することが求められ、以
下のステージで適用することが推奨されます。
・IT インフラの初期開発時
・既存 IT ネットワークへの新規医療機器の統合時
・アップデート又は改良によるオペレーティングシステム、IT ネットワーク又は医療
機器自体のソフトウェア及びファームウェアの変更時
2) サイバーセキュリティ対策
医療機関は、リスクマネジメントに加え、全体的なセキュリティ体制を維持するために、
以下に例示したような一般的なサイバーセキュリティの対応をすることが推奨されます。
なお、これらは救急時等を含めた臨床使用状況を考慮して実施する必要があります。
[サイバーセキュリティ対策の例]
・医療機器又はネットワークアクセスポイントへの不正アクセスを防ぐための物理的
又は論理的セキュリティ
10
12 / 22