よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (6 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html
出典情報 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。





セキュリティの定量的評価、反復試験、侵入試験等の能力向上
これらを支える PSIRT(Product Security Incident Response Team)等の製品セキュリティ体制
の構築
一連のサイバーセキュリティのベースラインとなる活動を定め、QMS の中に定着させる取組み
製造販売業者は、国際整合化の背景及び「共同責任(Shared Responsibility)
」における自らの責任を
理解し、サイバーセキュリティベースラインを構築した上で、医療機関、ユーザー、規制当局及び脆弱性
発見者等のステークホルダーと連携可能な体制を整備する。
サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するための TPLC ア
プローチの原則である。遅滞なく情報が共有されることによって、製造販売業者が脅威を特定し、関連す
るリスクを評価し、それに適宜対応するための能力が最大化する。製造販売業者は、医療機器及び接続す
るヘルスケアインフラの安全性、性能、完全性及びセキュリティに影響し得るサイバーセキュリティのイ
ンシデント、脅威及び脆弱性に対する協力及びコミュニケーションを強化するため、情報共有分析機関
(Information Sharing Analysis Organizations:以下「ISAO」という。
)等に積極的に参加することが推
奨される。

5.

市販前の考慮事項
医療機器のサイバーセキュリティは、TPLC に渡って検討する。医療機器の市販前の設計・開発段階に

おいて、製造販売業者は、次を実施する。
セキュリティ機能の製品への組込み
最新の技術に基づくリスクマネジメント手法の適用
セキュリティ試験
医療機器をセキュアに運用するためのユーザーに対する情報提供の準備
市販後活動のための計画の立案
製造販売業者は、これらの市販前の要素を検討する際、医療機器の意図する使用環境に加え、合理的に
予見可能な誤使用のシナリオを充分に評価する。
5.1.

セキュリティ要求事項及びアーキテクチャ設計

製造販売業者は、積極的な市販後活動だけでなく、アーキテクチャ設計において、脅威モデリング等を
用いた脅威分析を行うことによって、第三者による攻撃、脆弱性の悪用可能性を充分に評価する。これに
よって、製品を保護すべき信頼境界及び攻撃対象領域(アタックサーフェイスともいう)をシステム構成
(アーキテクチャ)図において特定し、製品の特質、意図する使用及び使用環境に対して組み込む設計原
則及び要求事項を適切に定める。この際、自社製品の設計の範囲で考慮することが重要である。この検討
に用いたシステム構成図は顧客向け文書に記載する。このセキュリティに関する設計原則及び要求事項
4