よむ、つかう、まなぶ。
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00016.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第2回 3/7)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
システムのセキュリティポリシーを破るために悪用される可能性のある、システムの設計、導入
又は運用管理における欠陥又は弱み。
医療機器においては、ネットワーク等を介した機能・性能の向上に伴って、サードパーティ製ソ
フトウェアの使用も増大しており、既知の脆弱性だけでなく、設計検証の過程で発見することが困
難な未知の脆弱性が含まれていることを考慮しなければならない。
一般的に、脆弱性を悪用された場合、
「機器設定の不正変更」
、
「診断・治療に対する不正変更又は
無効化」
、
「機密データの喪失又は開示」
、
「機器の誤動作」
、
「他の機器・システムへの攻撃・拡散」
等が想定され、結果として医療機器の「
(1)不具合」に分類された様々な事象を引き起こす原因と
なる可能性がある。
(3)EOL、EOS 及びレガシー医療機器
「医療機器のサイバーセキュリティ導入に関する手引書(第 2 版)」において、医療機器の EOL
(End of Life)
、EOS(End of Support)及びレガシー医療機器は以下のように定義されている。
EOL(End of Life)
EOS(End of Support)
レガシー医療機器
製品寿命終了。製品のライフサイクルにおいて、製造業者が定めた有
効期間を超えた製品の販売を終了し、製品について正式な EOL プロ
セス(顧客への通知等)を実施する時点。
(IMDRF ガイダンス和訳よ
り)
サポート終了。製品のライフサイクルにおいて、製造業者が全てのサ
ポート活動を中止する時点。サービスサポートは、この時点を超えな
い。
(IMDRF ガイダンス和訳より)
現在のサイバーセキュリティの脅威に対してアップデート又は補完的
対策等の合理的な手段で保護できない医療機器で、販売開始以降の年
数にかかわらない。
(IMDRF ガイダンス和訳より、一部修正)
4. 製造販売業者における医療機器の不具合等報告
(1)医療機器の不具合等報告の基本的事項
製造販売業者等は、不具合によるものと疑われる症例等を知ったとき、又は患者に重篤な健康被
害が発生するおそれのある不具合を知った場合には、医薬品医療機器等法第 68 条の 10 第 1 項の規
定により、令和 3 年 7 月 30 日付け薬生発 0730 第 8 号厚生労働省医薬・生活衛生局長通知「
「医薬
品等の副作用等の報告について」の一部改正について」を参照し、所定の様式により以下の報告書
を独立行政法人医薬品医療機器総合機構医療機器品質管理・安全対策部 医療機器安全対策課(以下
「PMDA」という。
)に提出しなければならない。
様式 8:医療機器不具合・感染症症例報告書(国内/外国)
様式 9:医療機器に係る不具合の発生率変化調査報告書
様式 10:医療機器の研究報告/外国における製造等の中止、回収、廃棄等の
措置調査報告書
様式 11:医療機器品目指定定期報告書
様式 12:医療機器未知非重篤不具合定期報告書
不具合等報告書は、報告期限内に、PMDA に提出する。なお、国内死亡症例についての全ての症
例並びに外国医療機器に係る製造、輸入又は販売の中止等保健衛生上の危害の発生又は拡大を防止
するための措置が講じられた場合の全ての措置内容について、PMDA に対し、ファックス等により
速やかに第一報の報告をする。報告期限は、医薬品医療機器等法施行規則第 228 条 20 第 2 項に従
って、発生もしくは発生のおそれのある健康被害の重篤性に応じて、情報入手日から 15 日、30 日、
又は定期報告として、PMDA に報告することが定められている。
3
又は運用管理における欠陥又は弱み。
医療機器においては、ネットワーク等を介した機能・性能の向上に伴って、サードパーティ製ソ
フトウェアの使用も増大しており、既知の脆弱性だけでなく、設計検証の過程で発見することが困
難な未知の脆弱性が含まれていることを考慮しなければならない。
一般的に、脆弱性を悪用された場合、
「機器設定の不正変更」
、
「診断・治療に対する不正変更又は
無効化」
、
「機密データの喪失又は開示」
、
「機器の誤動作」
、
「他の機器・システムへの攻撃・拡散」
等が想定され、結果として医療機器の「
(1)不具合」に分類された様々な事象を引き起こす原因と
なる可能性がある。
(3)EOL、EOS 及びレガシー医療機器
「医療機器のサイバーセキュリティ導入に関する手引書(第 2 版)」において、医療機器の EOL
(End of Life)
、EOS(End of Support)及びレガシー医療機器は以下のように定義されている。
EOL(End of Life)
EOS(End of Support)
レガシー医療機器
製品寿命終了。製品のライフサイクルにおいて、製造業者が定めた有
効期間を超えた製品の販売を終了し、製品について正式な EOL プロ
セス(顧客への通知等)を実施する時点。
(IMDRF ガイダンス和訳よ
り)
サポート終了。製品のライフサイクルにおいて、製造業者が全てのサ
ポート活動を中止する時点。サービスサポートは、この時点を超えな
い。
(IMDRF ガイダンス和訳より)
現在のサイバーセキュリティの脅威に対してアップデート又は補完的
対策等の合理的な手段で保護できない医療機器で、販売開始以降の年
数にかかわらない。
(IMDRF ガイダンス和訳より、一部修正)
4. 製造販売業者における医療機器の不具合等報告
(1)医療機器の不具合等報告の基本的事項
製造販売業者等は、不具合によるものと疑われる症例等を知ったとき、又は患者に重篤な健康被
害が発生するおそれのある不具合を知った場合には、医薬品医療機器等法第 68 条の 10 第 1 項の規
定により、令和 3 年 7 月 30 日付け薬生発 0730 第 8 号厚生労働省医薬・生活衛生局長通知「
「医薬
品等の副作用等の報告について」の一部改正について」を参照し、所定の様式により以下の報告書
を独立行政法人医薬品医療機器総合機構医療機器品質管理・安全対策部 医療機器安全対策課(以下
「PMDA」という。
)に提出しなければならない。
様式 8:医療機器不具合・感染症症例報告書(国内/外国)
様式 9:医療機器に係る不具合の発生率変化調査報告書
様式 10:医療機器の研究報告/外国における製造等の中止、回収、廃棄等の
措置調査報告書
様式 11:医療機器品目指定定期報告書
様式 12:医療機器未知非重篤不具合定期報告書
不具合等報告書は、報告期限内に、PMDA に提出する。なお、国内死亡症例についての全ての症
例並びに外国医療機器に係る製造、輸入又は販売の中止等保健衛生上の危害の発生又は拡大を防止
するための措置が講じられた場合の全ての措置内容について、PMDA に対し、ファックス等により
速やかに第一報の報告をする。報告期限は、医薬品医療機器等法施行規則第 228 条 20 第 2 項に従
って、発生もしくは発生のおそれのある健康被害の重篤性に応じて、情報入手日から 15 日、30 日、
又は定期報告として、PMDA に報告することが定められている。
3