よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (8 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
製造販売業者は、
オペレーティングシステム
(以下 OS という。)
、
サードパーティ製又はオープンソースのソフトウェアのアップデ
ート手法及び管理方法について検討する。また、製造販売業者は、
ソフトウェアのアップデートや、安全でないバージョンの OS 上
で動作する医療機器ソフトウェア等、サポートが終了し、管理対象
外となった古い OS 環境への対処方法計画を立案する。
製造販売業者は、アップデートを実施するために必要な接続に
ついて検討すると共に、コードの署名等の方法を用いて接続又は
アップデートの真正性を保証する方法について検討する。
製造販売業者は、未承認者による医療機器へのアクセスを防止
する手法について検討する。例えば、ポートを物理的にロックす
物理的アクセス
る、ポートへのアクセスを物理的に制限する又は必要な認証なし
に物理ケーブルを用いたアクセスを禁止する等の手法を検討す
る。
信頼性及び可用性
5.2.
製造販売業者は、医療機器の基本性能を維持するため、サイバー
攻撃を検出、防御、対応及び復旧する設計特性について検討する。
TPLC に関するリスクマネジメント原則
製造販売業者は、サイバーセキュリティについても JIS T 14971:2020 及び TR T 24971:2020 によって
最新の技術に基づくリスクマネジメントを TPLC に渡って実施し、必要な対策を行い、その結果、重大な
脆弱性がなくリスクが受容可能になることを、許認可の際には規制当局へ、市販後にはユーザー又は規制
当局等へ説明する。リスクマネジメントプロセスの一環として以下のステップを踏むことが望ましい。
サイバーセキュリティに関する脆弱性の特定
関連するリスクの推定及び評価
リスクを受容可能なレベルまで低減するリスクコントロールの採用
リスクコントロールの有効性の評価・監視
協調的な情報開示を通じ、リスクに関するユーザー等への情報の提供
一連の活動の文書化
セキュリティの脆弱性の評価に関しては、共通脆弱性スコアリングシステム(Common Vulnerability
Scoring System:CVSS)等の広く採用されている脆弱性スコアリングシステムを採用して透明性を確保
し分析・評価を行う。この際、一般の情報セキュリティにおける使用を想定した CVSS スコア(基本値、
現状値)は、医療機器として臨床環境や患者安全への影響へ置き換えるため、再評価をする必要がある。
再評価については、例えば MITRE 社が策定した医療機器向けのガイド(MITRE Rubric for Applying CVSS
to Medical Devices)があるので参考にできる。
6
添
製造販売業者は、
オペレーティングシステム
(以下 OS という。)
、
サードパーティ製又はオープンソースのソフトウェアのアップデ
ート手法及び管理方法について検討する。また、製造販売業者は、
ソフトウェアのアップデートや、安全でないバージョンの OS 上
で動作する医療機器ソフトウェア等、サポートが終了し、管理対象
外となった古い OS 環境への対処方法計画を立案する。
製造販売業者は、アップデートを実施するために必要な接続に
ついて検討すると共に、コードの署名等の方法を用いて接続又は
アップデートの真正性を保証する方法について検討する。
製造販売業者は、未承認者による医療機器へのアクセスを防止
する手法について検討する。例えば、ポートを物理的にロックす
物理的アクセス
る、ポートへのアクセスを物理的に制限する又は必要な認証なし
に物理ケーブルを用いたアクセスを禁止する等の手法を検討す
る。
信頼性及び可用性
5.2.
製造販売業者は、医療機器の基本性能を維持するため、サイバー
攻撃を検出、防御、対応及び復旧する設計特性について検討する。
TPLC に関するリスクマネジメント原則
製造販売業者は、サイバーセキュリティについても JIS T 14971:2020 及び TR T 24971:2020 によって
最新の技術に基づくリスクマネジメントを TPLC に渡って実施し、必要な対策を行い、その結果、重大な
脆弱性がなくリスクが受容可能になることを、許認可の際には規制当局へ、市販後にはユーザー又は規制
当局等へ説明する。リスクマネジメントプロセスの一環として以下のステップを踏むことが望ましい。
サイバーセキュリティに関する脆弱性の特定
関連するリスクの推定及び評価
リスクを受容可能なレベルまで低減するリスクコントロールの採用
リスクコントロールの有効性の評価・監視
協調的な情報開示を通じ、リスクに関するユーザー等への情報の提供
一連の活動の文書化
セキュリティの脆弱性の評価に関しては、共通脆弱性スコアリングシステム(Common Vulnerability
Scoring System:CVSS)等の広く採用されている脆弱性スコアリングシステムを採用して透明性を確保
し分析・評価を行う。この際、一般の情報セキュリティにおける使用を想定した CVSS スコア(基本値、
現状値)は、医療機器として臨床環境や患者安全への影響へ置き換えるため、再評価をする必要がある。
再評価については、例えば MITRE 社が策定した医療機器向けのガイド(MITRE Rubric for Applying CVSS
to Medical Devices)があるので参考にできる。
6