よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (12 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
5.6.
添
規制当局への申請に関する文書
製造販売業者は、規制当局への申請に際し、申請予定の医療機器に関するサイバーセキュリティの対応
状況に関して、リスクマネジメント活動に基づき、次の文書を提出することとなるが、具体的には関係法
令等に従う。
セキュリティに関連する設計文書
セキュリティに関するリスクマネジメント文書
セキュリティ試験の文書
TPLC サイバーセキュリティマネジメント計画に関する文書
注意事項等情報、取扱説明書及び顧客向けセキュリティ文書
6.
市販後の考慮事項
医療機器に対するサイバー攻撃及び脆弱性の影響は、時間経過に伴って変化する。医療機器の脆弱性評
価に利用する CVSS スコアが継続的なアセスメントの過程で小さくなる(影響が少ないと判断される)
こともあれば、逆に容易に悪用される可能性が高いことが判明することもある。つまり市販前の設計段階
で実施したセキュリティ対応では、リスクが受容可能な状態を適切に維持できない場合がある。このた
め、製造販売業者は、医療機器のサイバーセキュリティに係る対応として、医薬品医療機器等法に基づく
不具合報告(サイバーセキュリティ上の脆弱性に起因する健康被害の発生のおそれのある事象に係る報
告も含む)その他の市販後安全対策を実施する他、IPA(独立行政法人情報処理推進機構)その他のサイ
バーセキュリティに関係する行政機関への報告を行うことに加え、ISAO、CERT(Computer Emergency
Response Team)
、脆弱性発見者等を含めた製品ライフサイクルの市販後プロセスに関与する全てのステ
ークホルダーと連携したアプローチ(6.1~6.6)を行う。
6.1.
意図する使用環境における機器の運用
医療機関は、安全管理ガイドラインにより、医療機器が接続される施設の IT インフラを開発し、サイ
バーセキュリティを確保するために、リスクマネジメントシステムの採用に加え、全体的なセキュリティ
体制の構築を義務付けられている。このため、製造販売業者は、自らの責任範囲を明確にして、医療機関
におけるサイバーセキュリティを確保するために、医療機器を医療機関へ導入する際の求めに応じて、医
療機器製品の MDS2 及び SBOM 等の顧客向け文書を提供する。
6.2.
情報共有
情報共有は、サイバーセキュリティの脅威及び脆弱性を管理するための基本的な活動である。製造販売
業者は、医療機器について、市販前に立案されたサイバーセキュリティマネジメント計画に基づき、市販
後に国内外で確認されたサイバーセキュリティの脅威及び脆弱性に関する情報並びにその他の医療機器
の適正なセキュリティ対応のために必要な情報を、医薬品医療機器等法に基づき継続的に収集、分析する
10
5.6.
添
規制当局への申請に関する文書
製造販売業者は、規制当局への申請に際し、申請予定の医療機器に関するサイバーセキュリティの対応
状況に関して、リスクマネジメント活動に基づき、次の文書を提出することとなるが、具体的には関係法
令等に従う。
セキュリティに関連する設計文書
セキュリティに関するリスクマネジメント文書
セキュリティ試験の文書
TPLC サイバーセキュリティマネジメント計画に関する文書
注意事項等情報、取扱説明書及び顧客向けセキュリティ文書
6.
市販後の考慮事項
医療機器に対するサイバー攻撃及び脆弱性の影響は、時間経過に伴って変化する。医療機器の脆弱性評
価に利用する CVSS スコアが継続的なアセスメントの過程で小さくなる(影響が少ないと判断される)
こともあれば、逆に容易に悪用される可能性が高いことが判明することもある。つまり市販前の設計段階
で実施したセキュリティ対応では、リスクが受容可能な状態を適切に維持できない場合がある。このた
め、製造販売業者は、医療機器のサイバーセキュリティに係る対応として、医薬品医療機器等法に基づく
不具合報告(サイバーセキュリティ上の脆弱性に起因する健康被害の発生のおそれのある事象に係る報
告も含む)その他の市販後安全対策を実施する他、IPA(独立行政法人情報処理推進機構)その他のサイ
バーセキュリティに関係する行政機関への報告を行うことに加え、ISAO、CERT(Computer Emergency
Response Team)
、脆弱性発見者等を含めた製品ライフサイクルの市販後プロセスに関与する全てのステ
ークホルダーと連携したアプローチ(6.1~6.6)を行う。
6.1.
意図する使用環境における機器の運用
医療機関は、安全管理ガイドラインにより、医療機器が接続される施設の IT インフラを開発し、サイ
バーセキュリティを確保するために、リスクマネジメントシステムの採用に加え、全体的なセキュリティ
体制の構築を義務付けられている。このため、製造販売業者は、自らの責任範囲を明確にして、医療機関
におけるサイバーセキュリティを確保するために、医療機器を医療機関へ導入する際の求めに応じて、医
療機器製品の MDS2 及び SBOM 等の顧客向け文書を提供する。
6.2.
情報共有
情報共有は、サイバーセキュリティの脅威及び脆弱性を管理するための基本的な活動である。製造販売
業者は、医療機器について、市販前に立案されたサイバーセキュリティマネジメント計画に基づき、市販
後に国内外で確認されたサイバーセキュリティの脅威及び脆弱性に関する情報並びにその他の医療機器
の適正なセキュリティ対応のために必要な情報を、医薬品医療機器等法に基づき継続的に収集、分析する
10