よむ、つかう、まなぶ。
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00016.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第2回 3/7)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方
1. はじめに
近年、医療機器の IoT(Internet of Things)化の加速、病院内のイントラネット環境構築に加え、
サイバー攻撃の高度化が進んでいることから、医療機器のサイバーセキュリティ(CS)の確保が大
きな社会的課題となっている。医療機器は、国内外に流通するとともに、インターネットに接続さ
れた医療機器については、国境の枠組みを超えてサイバー攻撃が行われる可能性があることから、
CS 対応の国際調和を図ることを目的として、 国際医療機器規制当局フォーラム(International
Medical Device Regulators Forum:IMDRF)において、医療機器サイバーセキュリティガイダンス N60
「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び
実践)
」
(以下「IMDRF ガイダンス」という。
)が取りまとめられ、令和 2 年 5 月 13 日付け薬生機審
発 0513 第 1 号・薬生安発 0513 第 1 号厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安
全対策課長連名通知「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュ
リティの原則及び実践に関するガイダンスの公表について(周知依頼)
」によって、我が国において
も、医療機器製造販売業者に対して IMDRF ガイダンスを導入することが示された。また、医療機
器に対するサイバー攻撃への対策を一層強化して医療現場における安全性を確保するため、医療機
器の CS に係る開発目標及び評価基準が策定され、
「医薬品、医療機器等の品質、有効性及び安全性
の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」
(平
成 17 年厚生労働省告示第 122 号。以下「基本要件基準」という。
)が改正された。改正後の基本要
件基準第 12 条第 3 項は、令和 5 年 4 月 1 日から適用され、1 年間の経過措置期間が設定されてい
る。
基本的に医療機器の CS は、サイバー攻撃により医療機器の不具合や患者不利益が発生しないよ
うに未然に予防することが重要であるため、医療機器 CS の確保に当たり、市販前では、医療機器
のサイバー攻撃に対する耐性が確保されるよう、設計及び開発を行い、市販後では、意図した環境
での使用、脆弱性の修正(パッチ、アップデート)及びインシデントへの対応等の製造販売業者に
よる適正な管理及び使用者である医療機関内等での適正な管理が相互になされることが必要である。
たとえその時点で CS 対策が十分と思われても、将来にわたって未知の脆弱性に対応することは難
しく、サイバー攻撃に起因する不具合等が起こってしまう可能性がある。また、既に判明している
重大な脆弱性に対して医療機器の CS 対応及び製造販売業者の情報提供が不十分なまま放置されて
いた場合には、いつでもサイバー攻撃に起因する不具合等が発生し得ると考える必要がある。医療
機器においては、未対応の脆弱性を悪用されて侵入を許してしまった、攻撃性の強いマルウェアに
感染してしまった等の時点で、その影響は当該機器に留まらず、同様の脆弱性をもつその他の医療
機器や医療システム全体へも影響する等、通常の不具合とは異なり、波及性が非常に大きいことか
ら、CS に特化した速やかな対応が必要である。したがって、新たな被害を生じさせないためにも迅
速に原因を究明するとともに、適切な安全確保措置を講じる必要がある。本文書では、不具合等報
告制度における製造販売業者向けの医療機器 CS の基本的考え方を整理する。
2. 本文書の対象
本文書は、医療機器の製造販売を規制する「医薬品、医療機器等の品質、有効性及び安全性の確
保等に関する法律」
(昭和 35 年法律第 145 号。以下「医薬品医療機器等法」という。
)第 2 条第 4 項
に定義された医療機器のうち、無線又は有線により、メディア媒体を含む他の機器、ネットワーク
等との接続が可能なプログラム医療機器(SaMD :Software as a Medical Device)を含む医療機器及
びプログラムを用いた附属品等を対象とする。なお、医療機器のクラス分類を問わない。
本文書においては、医療機器 CS における不具合等報告制度を中心とした市販後安全対策に関す
る製造販売業者向けの基本的考え方を整理するとともに、現時点において医薬品医療機器等法に基
づいて報告が必要と想定される事例を提示する。市販前を中心とした医療機器 CS に関しては、令
和 3 年 12 月 24 日付け薬生機審発 1224 第 1 号・薬生安発 1224 第 1 号厚生労働省医薬・生活衛生局
医療機器審査管理課長・医薬安全対策課長通知「医療機器のサイバーセキュリティの確保及び徹底
1
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方
1. はじめに
近年、医療機器の IoT(Internet of Things)化の加速、病院内のイントラネット環境構築に加え、
サイバー攻撃の高度化が進んでいることから、医療機器のサイバーセキュリティ(CS)の確保が大
きな社会的課題となっている。医療機器は、国内外に流通するとともに、インターネットに接続さ
れた医療機器については、国境の枠組みを超えてサイバー攻撃が行われる可能性があることから、
CS 対応の国際調和を図ることを目的として、 国際医療機器規制当局フォーラム(International
Medical Device Regulators Forum:IMDRF)において、医療機器サイバーセキュリティガイダンス N60
「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び
実践)
」
(以下「IMDRF ガイダンス」という。
)が取りまとめられ、令和 2 年 5 月 13 日付け薬生機審
発 0513 第 1 号・薬生安発 0513 第 1 号厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安
全対策課長連名通知「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュ
リティの原則及び実践に関するガイダンスの公表について(周知依頼)
」によって、我が国において
も、医療機器製造販売業者に対して IMDRF ガイダンスを導入することが示された。また、医療機
器に対するサイバー攻撃への対策を一層強化して医療現場における安全性を確保するため、医療機
器の CS に係る開発目標及び評価基準が策定され、
「医薬品、医療機器等の品質、有効性及び安全性
の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」
(平
成 17 年厚生労働省告示第 122 号。以下「基本要件基準」という。
)が改正された。改正後の基本要
件基準第 12 条第 3 項は、令和 5 年 4 月 1 日から適用され、1 年間の経過措置期間が設定されてい
る。
基本的に医療機器の CS は、サイバー攻撃により医療機器の不具合や患者不利益が発生しないよ
うに未然に予防することが重要であるため、医療機器 CS の確保に当たり、市販前では、医療機器
のサイバー攻撃に対する耐性が確保されるよう、設計及び開発を行い、市販後では、意図した環境
での使用、脆弱性の修正(パッチ、アップデート)及びインシデントへの対応等の製造販売業者に
よる適正な管理及び使用者である医療機関内等での適正な管理が相互になされることが必要である。
たとえその時点で CS 対策が十分と思われても、将来にわたって未知の脆弱性に対応することは難
しく、サイバー攻撃に起因する不具合等が起こってしまう可能性がある。また、既に判明している
重大な脆弱性に対して医療機器の CS 対応及び製造販売業者の情報提供が不十分なまま放置されて
いた場合には、いつでもサイバー攻撃に起因する不具合等が発生し得ると考える必要がある。医療
機器においては、未対応の脆弱性を悪用されて侵入を許してしまった、攻撃性の強いマルウェアに
感染してしまった等の時点で、その影響は当該機器に留まらず、同様の脆弱性をもつその他の医療
機器や医療システム全体へも影響する等、通常の不具合とは異なり、波及性が非常に大きいことか
ら、CS に特化した速やかな対応が必要である。したがって、新たな被害を生じさせないためにも迅
速に原因を究明するとともに、適切な安全確保措置を講じる必要がある。本文書では、不具合等報
告制度における製造販売業者向けの医療機器 CS の基本的考え方を整理する。
2. 本文書の対象
本文書は、医療機器の製造販売を規制する「医薬品、医療機器等の品質、有効性及び安全性の確
保等に関する法律」
(昭和 35 年法律第 145 号。以下「医薬品医療機器等法」という。
)第 2 条第 4 項
に定義された医療機器のうち、無線又は有線により、メディア媒体を含む他の機器、ネットワーク
等との接続が可能なプログラム医療機器(SaMD :Software as a Medical Device)を含む医療機器及
びプログラムを用いた附属品等を対象とする。なお、医療機器のクラス分類を問わない。
本文書においては、医療機器 CS における不具合等報告制度を中心とした市販後安全対策に関す
る製造販売業者向けの基本的考え方を整理するとともに、現時点において医薬品医療機器等法に基
づいて報告が必要と想定される事例を提示する。市販前を中心とした医療機器 CS に関しては、令
和 3 年 12 月 24 日付け薬生機審発 1224 第 1 号・薬生安発 1224 第 1 号厚生労働省医薬・生活衛生局
医療機器審査管理課長・医薬安全対策課長通知「医療機器のサイバーセキュリティの確保及び徹底
1