よむ、つかう、まなぶ。
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について (2 ページ)
出典
公開元URL | https://www.mhlw.go.jp/hourei/doc/tsuchi/T240202I0010.pdf |
出典情報 | 医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について(1/31付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別 紙
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)
Q1:WiFi や Bluetooth、有線(LAN や USB デバイス)で接続できる仕様は有するものの、患者
への使用時等においては接続されず、製造販売業者等による保守や修理作業において
のみ接続され、注意事項等情報や使用者との契約で接続制限が合意された医療機器に
ついては、医療機関のネットワークに常時繋がって使用・管理されているものとは異なり、
想定される使用環境下に限定したサイバーセキュリティにおける評価のみを行うことで良い
か。
また、汎用 PC などにインストールすることなく、端末からクラウドにアクセスして用いる医療
機器プログラムについても、医療機器におけるサイバーセキュリティ対応は適用になるの
か。
A1:基本要件基準第 12 条第3項に示されているとおり、製造販売業者等による保守や修理作
業においてのみ接続される医療機器であっても、『①他の機器及びネットワーク等と接続し
て使用する医療機器』又は『②外部からの不正アクセス及び攻撃アクセスが想定される医
療機器』が適用されるため、「当該医療機器における動作環境及びネットワークの使用環
境等を踏まえて適切な要件を特定」し、リスク分析を行うことにより必要なセキュリティ対応・
管理を行うこと。また、クラウドにアクセスして用いる医療機器プログラムについても同様に、
医療機器であるプログラム部分のセキュリティ対応が必要になる。
なお、リスク分析の際には、システム構成図やネットワーク構成図を作成し、どのようなリスク
が存在するのかを明確にし、合理的に予見可能な誤使用を踏まえた脅威分析を行った上
で、運用上の注意点を明確にしていくことが重要になる。
令和5年 5 月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活衛生局医療機器
審査管理課長通知においては、意図する使用環境をシステム構成図やネットワーク構成
図等を用いて確認することが求められているが、図等の様式の指定はない。
Q2:基本要件基準第 12 条第3項の経過措置期間中に承認申請・認証申請を行い、承認申
請・認証取得が経過措置期間終了後となった場合であっても、承認申請・認証審査の中
で基本要件第 12 条3項の適合確認は行われないとの理解で良いか。
A2:貴見のとおり。なお、製造販売業者において製造販売出荷までに適合性確認を行うこと。
Q3:承認申請・認証申請書の「性能及び安全性に関する規格欄」において、JIS T 81001-5-1
は JIS T 2304 と同様に記載する必要はないとの理解で良いか。
A3:貴見のとおり。
1
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)
Q1:WiFi や Bluetooth、有線(LAN や USB デバイス)で接続できる仕様は有するものの、患者
への使用時等においては接続されず、製造販売業者等による保守や修理作業において
のみ接続され、注意事項等情報や使用者との契約で接続制限が合意された医療機器に
ついては、医療機関のネットワークに常時繋がって使用・管理されているものとは異なり、
想定される使用環境下に限定したサイバーセキュリティにおける評価のみを行うことで良い
か。
また、汎用 PC などにインストールすることなく、端末からクラウドにアクセスして用いる医療
機器プログラムについても、医療機器におけるサイバーセキュリティ対応は適用になるの
か。
A1:基本要件基準第 12 条第3項に示されているとおり、製造販売業者等による保守や修理作
業においてのみ接続される医療機器であっても、『①他の機器及びネットワーク等と接続し
て使用する医療機器』又は『②外部からの不正アクセス及び攻撃アクセスが想定される医
療機器』が適用されるため、「当該医療機器における動作環境及びネットワークの使用環
境等を踏まえて適切な要件を特定」し、リスク分析を行うことにより必要なセキュリティ対応・
管理を行うこと。また、クラウドにアクセスして用いる医療機器プログラムについても同様に、
医療機器であるプログラム部分のセキュリティ対応が必要になる。
なお、リスク分析の際には、システム構成図やネットワーク構成図を作成し、どのようなリスク
が存在するのかを明確にし、合理的に予見可能な誤使用を踏まえた脅威分析を行った上
で、運用上の注意点を明確にしていくことが重要になる。
令和5年 5 月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活衛生局医療機器
審査管理課長通知においては、意図する使用環境をシステム構成図やネットワーク構成
図等を用いて確認することが求められているが、図等の様式の指定はない。
Q2:基本要件基準第 12 条第3項の経過措置期間中に承認申請・認証申請を行い、承認申
請・認証取得が経過措置期間終了後となった場合であっても、承認申請・認証審査の中
で基本要件第 12 条3項の適合確認は行われないとの理解で良いか。
A2:貴見のとおり。なお、製造販売業者において製造販売出荷までに適合性確認を行うこと。
Q3:承認申請・認証申請書の「性能及び安全性に関する規格欄」において、JIS T 81001-5-1
は JIS T 2304 と同様に記載する必要はないとの理解で良いか。
A3:貴見のとおり。
1