よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (15 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2) 役割毎のトレーニング
予め決められた役割に応じて適切なトレーニングを実施することが必要で、その内容につ
いて定期的に見直すことが推奨されます。サイバーセキュリティインシデントを評価する
専門家は、実務経験に加えて、デジタル機器に残る記録を収集・解析し、法的な証拠性を
明らかにするための専門的なトレーニングを受けることが推奨されます。インシデント対
応プロセスに関与する人員は、実務経験に加えて、インシデント対応のプロセス及び理論
に関するトレーニングを受けることが推奨されます。インシデント対応演習を行うことも
有効です。
3) 分析及び対応
医療機関は、インシデント又は脆弱性の影響を報告書により評価し、医療機器事業者等の
責任関係者と協力して対応することが必要です。医療機関は、対応策及び安全関連情報を
患者に周知する必要があります。
②関係方面への報告
インシデント発生に関する報告は、厚生労働省医政局特定医薬品開発支援・医療情報担当
参事官室、都道府県、医療セプター等に対して行う必要があり、必要に応じて医療機器・
医療情報システムの保守管理委託先、医療機器事業者等に協力を求めます。また、実際に
保健衛生上の危害が発生し、又は拡大するおそれがある場合には医療機器に関する安全性
情報として医薬品医療機器総合機構(PMDA)に報告する必要があります。
③事後対応
医療機関は、予め定めたサイバーセキュリティのインシデントを処理するためのポリシー
に従って、事態の発生について公表し、その原因と対処法について説明する必要がありま
す。また、「原因を追究し明らかにする責任」、「損害を生じさせた場合にはその損害填補
責任」、
「再発防止策を講ずる責任」といった善後策を講ずる責任があります。
4.5 レガシー医療機器への対応
医療機関では、各医療機器のサイバーセキュリティについて公表された EOL(製品寿命
終了)を越えた使用期間を設定する場合があります。しかし、脅威の状況は時代とともに
変化し、新しい脅威の出現により、時代遅れの技術を使用するリスク及び対応に要する経
費が増加することになります。医療機器事業者及び医療機関は共同責任として対処する必
要があります。医療機関は、サイバーセキュリティに関する医療機器のライフサイクルに
応じて対応すべき推奨事項を考慮し、既定の EOS(サポート終了)日以前に計画を作成
する必要があります。(図 3 参照。
)
13
15 / 22
予め決められた役割に応じて適切なトレーニングを実施することが必要で、その内容につ
いて定期的に見直すことが推奨されます。サイバーセキュリティインシデントを評価する
専門家は、実務経験に加えて、デジタル機器に残る記録を収集・解析し、法的な証拠性を
明らかにするための専門的なトレーニングを受けることが推奨されます。インシデント対
応プロセスに関与する人員は、実務経験に加えて、インシデント対応のプロセス及び理論
に関するトレーニングを受けることが推奨されます。インシデント対応演習を行うことも
有効です。
3) 分析及び対応
医療機関は、インシデント又は脆弱性の影響を報告書により評価し、医療機器事業者等の
責任関係者と協力して対応することが必要です。医療機関は、対応策及び安全関連情報を
患者に周知する必要があります。
②関係方面への報告
インシデント発生に関する報告は、厚生労働省医政局特定医薬品開発支援・医療情報担当
参事官室、都道府県、医療セプター等に対して行う必要があり、必要に応じて医療機器・
医療情報システムの保守管理委託先、医療機器事業者等に協力を求めます。また、実際に
保健衛生上の危害が発生し、又は拡大するおそれがある場合には医療機器に関する安全性
情報として医薬品医療機器総合機構(PMDA)に報告する必要があります。
③事後対応
医療機関は、予め定めたサイバーセキュリティのインシデントを処理するためのポリシー
に従って、事態の発生について公表し、その原因と対処法について説明する必要がありま
す。また、「原因を追究し明らかにする責任」、「損害を生じさせた場合にはその損害填補
責任」、
「再発防止策を講ずる責任」といった善後策を講ずる責任があります。
4.5 レガシー医療機器への対応
医療機関では、各医療機器のサイバーセキュリティについて公表された EOL(製品寿命
終了)を越えた使用期間を設定する場合があります。しかし、脅威の状況は時代とともに
変化し、新しい脅威の出現により、時代遅れの技術を使用するリスク及び対応に要する経
費が増加することになります。医療機器事業者及び医療機関は共同責任として対処する必
要があります。医療機関は、サイバーセキュリティに関する医療機器のライフサイクルに
応じて対応すべき推奨事項を考慮し、既定の EOS(サポート終了)日以前に計画を作成
する必要があります。(図 3 参照。
)
13
15 / 22