よむ、つかう、まなぶ。
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について (9 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/hourei/doc/tsuchi/T240202I0010.pdf |
| 出典情報 | 医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について(1/31付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
サイバーセキュリティへの適合に関する調査は、JIS T 81001-5-1の附属書F トランジションヘルス
ソフトウェアの規定を踏まえ、社内規定通り実施され、結果は下記の通り資料が作成されている。
1. JIS T 81001-5-1の附属書F トランジションヘルスソフトウェアに基づく適合性の判断
実施内容概要
JIS T 81001-5-1の要求事項とのギャップ分析を行い、ギャ
ップ解消アクティビティを実行し、ギャップ解消アクティビテ
ィのアウトプットに基づくトランジションヘルスソフトウェアの
継続使用の根拠をトランジションヘルスソフトウェアのバー
ジョンとともに文書化すること。
社内ドキュメント名
トランジションヘルスソフトウェ
アへの適合宣言報告書
文書番号
社内文書〇〇
2. 医療機器の基本要件基準第 12 条第3項の適合性の確認について(薬生機審発 0523 第 1
号:令和5年 5 月 23 日)の各項目に対する実施状況
1
2
3
JIS T 81001-5-1 の確認項目
一般要求事項
ソフトウェア開発プロセス
ソフトウェア保守プロセス
実施内容概要
サイバーセキュリティの確保
に係る活動は、品質マネジ
メントシステムに基づいて行
われていること。
規制当局及び顧客に対して
脆弱性を適時に通知する活
動を確立すること。
品質マネジメントシステムに
おいて、セキュリティに対す
る対応方針、セキュリティに
対する問い合わせ窓口を明
確化し、顧客に対する脆弱
性等の開示手順が定められ
ていること。
医療機器のリスクマネジメン
トは、セキュリティの脆弱性、
脅威等を考慮したものであ
ること。
製品のセキュリティ機能を含
むセキュリティ要求事項を特
定すること。
意図する使用環境をシステ
ム構成図やネットワーク構成
図等を用いて明示すること。
ソフトウェアシステム試験を
行って、セキュリティ要求事
項が満たされ、リスクマネジ
メントプロセスで特定した脅
威に対応する方法が設計に
実装され、有効であること。
顧客に対するセキュリティ更
新の通知方針について定
めておくこと。
ソフトウェア保守計画におい
て、サポート終了等の製品
寿命に対して計画し、脆弱
性の監視、セキュリティ更新
等のための計画を行い、そ
8
社内ドキュメント名
・サイバーセキュリティ対
応手順書
文書番号
社内文書○○
・サイバーセキュリティ対
応手順書
社内文書○○
・サイバーセキュリティ対
応手順書
社内文書○○
・サイバーセキュリティリ
スクマネジメント分析
書
社内文書○○
・セキュリティ要求事項
社内文書○○
・システム構成図等(信
頼境界含む)
社内文書○○
・システム試験成績書
社内文書○○
・ソフトウェア保守計画書
社内文書○○
・ソフトウェア保守計画書
社内文書○○
ソフトウェアの規定を踏まえ、社内規定通り実施され、結果は下記の通り資料が作成されている。
1. JIS T 81001-5-1の附属書F トランジションヘルスソフトウェアに基づく適合性の判断
実施内容概要
JIS T 81001-5-1の要求事項とのギャップ分析を行い、ギャ
ップ解消アクティビティを実行し、ギャップ解消アクティビテ
ィのアウトプットに基づくトランジションヘルスソフトウェアの
継続使用の根拠をトランジションヘルスソフトウェアのバー
ジョンとともに文書化すること。
社内ドキュメント名
トランジションヘルスソフトウェ
アへの適合宣言報告書
文書番号
社内文書〇〇
2. 医療機器の基本要件基準第 12 条第3項の適合性の確認について(薬生機審発 0523 第 1
号:令和5年 5 月 23 日)の各項目に対する実施状況
1
2
3
JIS T 81001-5-1 の確認項目
一般要求事項
ソフトウェア開発プロセス
ソフトウェア保守プロセス
実施内容概要
サイバーセキュリティの確保
に係る活動は、品質マネジ
メントシステムに基づいて行
われていること。
規制当局及び顧客に対して
脆弱性を適時に通知する活
動を確立すること。
品質マネジメントシステムに
おいて、セキュリティに対す
る対応方針、セキュリティに
対する問い合わせ窓口を明
確化し、顧客に対する脆弱
性等の開示手順が定められ
ていること。
医療機器のリスクマネジメン
トは、セキュリティの脆弱性、
脅威等を考慮したものであ
ること。
製品のセキュリティ機能を含
むセキュリティ要求事項を特
定すること。
意図する使用環境をシステ
ム構成図やネットワーク構成
図等を用いて明示すること。
ソフトウェアシステム試験を
行って、セキュリティ要求事
項が満たされ、リスクマネジ
メントプロセスで特定した脅
威に対応する方法が設計に
実装され、有効であること。
顧客に対するセキュリティ更
新の通知方針について定
めておくこと。
ソフトウェア保守計画におい
て、サポート終了等の製品
寿命に対して計画し、脆弱
性の監視、セキュリティ更新
等のための計画を行い、そ
8
社内ドキュメント名
・サイバーセキュリティ対
応手順書
文書番号
社内文書○○
・サイバーセキュリティ対
応手順書
社内文書○○
・サイバーセキュリティ対
応手順書
社内文書○○
・サイバーセキュリティリ
スクマネジメント分析
書
社内文書○○
・セキュリティ要求事項
社内文書○○
・システム構成図等(信
頼境界含む)
社内文書○○
・システム試験成績書
社内文書○○
・ソフトウェア保守計画書
社内文書○○
・ソフトウェア保守計画書
社内文書○○