よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (16 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
販売時及び変更があった場合、顧客に通知する。例えば、EOL は、販売終了(予定)日に耐用期間を加え
た日とする考え方がある。EOS については、顧客が十分に対応可能な期間を配慮する必要があるため、
遅くとも EOL までに顧客に通知し、その後変更があった場合も通知する。EOL 及び EOS の決定におい
ては、ハードウェア部品・材料の供給、サードパーティ製ソフトウェア部品及び開発環境等のライフサイ
クルを考慮する。JIS T 2304 のソフトウェア構成管理及び変更管理に関する規定に従って、サードパー
ティ製ソフトウェア部品を管理し、SBOM として提示できる仕組みを構築する。開発環境については、
JIS T 2304 の「管理が必要な支援アイテム」の規定に従って管理する。
EOL から EOS の間は限定的サポート期間と呼ばれ、計画された開発は EOL までに終了しており、セ
キュリティアップデート、特定の部品・材料供給のみの提供となる。EOS 後は全てのサポートが終了と
なる。このため、EOS 後は、最新アップデートの導入等の最低限の対策が行われたとしても、
「未知の脆
弱性は考慮することが難しい」ため、すぐにレガシー状態となる可能性がある。
EOS 後も使用される場合、継続して使用する責任は医療機関に移転するため、予め医療機関との認識
を共有することが重要である。ただし、EOS 後においても、医療機器において発生した不具合に関する
情報収集義務(法 68 条の2の5第1項)及び行政報告義務(法 68 条の 10 第1項)は製造販売業者に残
る。EOS 後の継続した使用に関しては、決して推奨できる状態ではないことは、全てのステークホルダ
ーが理解しておかねばならず、そのために製造販売業者は顧客との連携を行い、顧客への説明責任を果た
す必要がある。
サイバーセキュリティが設計開発段階で十分配慮されていない製品が、そのまま市場に存在している
場合は、既にレガシー状態となっている可能性があることに留意されたい。この場合、製造販売業者は、
ファイアウォール等の補完的対策を検討すると同時に、速やかに顧客との連携を行い、顧客への説明責任
を果たす必要がある。
セキュリティに関しては、老朽化の理由のみでその製品がレガシー医療機器であると判断してはなら
ないことも重要である。販売開始から 5 年以内の医療機器であっても、現在のサイバーセキュリティの
脅威に対して合理的な手段で保護できない場合は、販売開始以降の年数にかかわらずレガシー医療機器
とみなされる。一方、販売開始から 15 年経過した医療機器であっても、現在のサイバーセキュリティの
脅威に対して合理的な手段で保護できる場合は、レガシー医療機器に該当しない。例えば、図 3 に示す
ように、医療機器自体はレガシー状態であっても、ファイアウォール等の補完的対策によって、セキュア
な状態を保証可能な場合は、その補完的対策を含めた構成において、レガシー医療機器とはみなされな
い。つまり限定的サポート期間が延長可能である。製造販売業者は、この補完的対策に使用するファイア
ウォール等の外部機器を、当該医療機器の使用環境として指定し、その仕様及び設定情報は、顧客向け文
書に含める(5.5.1)
。
なお、中古医療機器(貸与医療機器も含む)においても、製造販売業者が定めた製品の TPLC の範囲で
サポートが提供されるため、製造販売業者が示した EOS 内で販売可能である。EOS を超えて中古医療機
器が販売されることが想定される場合には、製造販売業者は、中古医療機器の顧客に対しリスクを提示す
るよう努める。
14
添
販売時及び変更があった場合、顧客に通知する。例えば、EOL は、販売終了(予定)日に耐用期間を加え
た日とする考え方がある。EOS については、顧客が十分に対応可能な期間を配慮する必要があるため、
遅くとも EOL までに顧客に通知し、その後変更があった場合も通知する。EOL 及び EOS の決定におい
ては、ハードウェア部品・材料の供給、サードパーティ製ソフトウェア部品及び開発環境等のライフサイ
クルを考慮する。JIS T 2304 のソフトウェア構成管理及び変更管理に関する規定に従って、サードパー
ティ製ソフトウェア部品を管理し、SBOM として提示できる仕組みを構築する。開発環境については、
JIS T 2304 の「管理が必要な支援アイテム」の規定に従って管理する。
EOL から EOS の間は限定的サポート期間と呼ばれ、計画された開発は EOL までに終了しており、セ
キュリティアップデート、特定の部品・材料供給のみの提供となる。EOS 後は全てのサポートが終了と
なる。このため、EOS 後は、最新アップデートの導入等の最低限の対策が行われたとしても、
「未知の脆
弱性は考慮することが難しい」ため、すぐにレガシー状態となる可能性がある。
EOS 後も使用される場合、継続して使用する責任は医療機関に移転するため、予め医療機関との認識
を共有することが重要である。ただし、EOS 後においても、医療機器において発生した不具合に関する
情報収集義務(法 68 条の2の5第1項)及び行政報告義務(法 68 条の 10 第1項)は製造販売業者に残
る。EOS 後の継続した使用に関しては、決して推奨できる状態ではないことは、全てのステークホルダ
ーが理解しておかねばならず、そのために製造販売業者は顧客との連携を行い、顧客への説明責任を果た
す必要がある。
サイバーセキュリティが設計開発段階で十分配慮されていない製品が、そのまま市場に存在している
場合は、既にレガシー状態となっている可能性があることに留意されたい。この場合、製造販売業者は、
ファイアウォール等の補完的対策を検討すると同時に、速やかに顧客との連携を行い、顧客への説明責任
を果たす必要がある。
セキュリティに関しては、老朽化の理由のみでその製品がレガシー医療機器であると判断してはなら
ないことも重要である。販売開始から 5 年以内の医療機器であっても、現在のサイバーセキュリティの
脅威に対して合理的な手段で保護できない場合は、販売開始以降の年数にかかわらずレガシー医療機器
とみなされる。一方、販売開始から 15 年経過した医療機器であっても、現在のサイバーセキュリティの
脅威に対して合理的な手段で保護できる場合は、レガシー医療機器に該当しない。例えば、図 3 に示す
ように、医療機器自体はレガシー状態であっても、ファイアウォール等の補完的対策によって、セキュア
な状態を保証可能な場合は、その補完的対策を含めた構成において、レガシー医療機器とはみなされな
い。つまり限定的サポート期間が延長可能である。製造販売業者は、この補完的対策に使用するファイア
ウォール等の外部機器を、当該医療機器の使用環境として指定し、その仕様及び設定情報は、顧客向け文
書に含める(5.5.1)
。
なお、中古医療機器(貸与医療機器も含む)においても、製造販売業者が定めた製品の TPLC の範囲で
サポートが提供されるため、製造販売業者が示した EOS 内で販売可能である。EOS を超えて中古医療機
器が販売されることが想定される場合には、製造販売業者は、中古医療機器の顧客に対しリスクを提示す
るよう努める。
14