よむ、つかう、まなぶ。
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について (6 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00016.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第2回 3/7)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
調査を開始する時点では、常に厳しい期限である 15 日を前提に作業を進めるとともに、報告期
限内に報告すべき事項の調査が完了しない場合でも、報告期限を厳守する。その場合には、それま
でに得られた調査結果を未完了報告とし、発生した事象によりその患者・使用者の受けた、又は受
けるおそれのある障害のレベルを知りうる範囲で報告する。医療機関側からの報告と齟齬のないこ
とが要求されるが、緊急時における第一報の場合にはその精度は問わない。その場合、所定様式の
今後の対応欄に追加報告を行う旨記載し報告期日までに報告する。後日、追加報告時にはその精度
を高めるべく報告企業は努力すべきである。なお、医療機関側との整合はその時点において取られ
るべきである。
(2)サイバーセキュリティに関する不具合等報告
医療機器 CS に関する不具合等報告も、通常の不具合等報告と同様に(1)に示した各種法令、通
知等に基づき実施する。
収集した当該医療機器の脆弱性に関する情報に対して、有効性及び安全性等に関する影響等を製
造販売業者が評価し、CS に関連して医療機器に不具合が発生し、健康被害が発生した又は健康被害
の発生のおそれがある場合や、脆弱性に対し外国医療機器の安全確保措置が実施された場合には、
不具合等報告の要否を検討する必要がある。
報告すべき CS に関連して発生する医療機器の不具合としては、以下のような事例が想定される。
現時点では CS に関する不具合事例の蓄積が乏しいことから、製造販売業者は、当該例示のみを判
断材料とすることなく、使用状況や(想定される)健康被害等を十分に考慮し、医薬品医療機器等
法施行規則第 228 条の 20 第 2 項に従って適切に報告要否を判断する必要がある。事例は、一般社
団法人日本医療機器産業連合会(以下「医機連」という。
)PMS 委員会 不具合報告の手引き改訂 WG
傘下 サイバーセキュリティの不具合報告サブ WG にて、CS の不具合として討議された事例であ
り、本文書の他、不具合報告書等の手引書の改訂版を参照されたい。レガシー医療機器において発
生した事象についても、同様に不具合等報告の必要性を考慮すること。
医療機器全般に共通の事例
脆弱性が認められ、不正アクセスにより悪用の実績(誤動作、機能不全等)が発生した*。
あらかじめ計画されたアップグレードオプションが適用されず(不適切に放置された)
、
ネットワークに接続されたレガシー医療機器の脆弱性に対し不正アクセスにより悪用の
実績(誤動作、機能不全等)が発生した。
DDoS 攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)により、画像診
断装置等が意図せず機能停止した。
個別医療機器の事例
ネットワーク接続された輸液ポンプの未使用ネットワークポートに対する不正アクセス
により設定が変更され、輸液の過剰投与や意図しない停止が起こった。
インスリンポンプの設定が不正アクセスにより変更され、インスリンの投与量が想定の量
より増加し、低血糖に至った。
植込み型除細動器の設定が不正アクセスにより変更され、ペーシング不全又はセンシング
不全が発生したため、心停止状態の持続や不整脈が誘発された。
*:製造販売業者には EOS に至るまでのみならず EOS 後を含めた医療機器の製品ライフサイ
クル全体を通して発生した不具合に関する情報収集義務(医薬品医療機器等法 68 条の 2 の
6 第 1 項)及び行政報告義務(医薬品医療機器等法 68 条の 10 第 1 項)が残る。このため、
不正アクセスによる悪用の実績が EOS の前後にかかわらず、製造販売業者は不具合等報告
の必要性を適切に判断する必要がある。
なお、医薬品医療機器等法第 68 条の 9 第 1 項にあるように、医療機器 CS に関する安全管理体
4
限内に報告すべき事項の調査が完了しない場合でも、報告期限を厳守する。その場合には、それま
でに得られた調査結果を未完了報告とし、発生した事象によりその患者・使用者の受けた、又は受
けるおそれのある障害のレベルを知りうる範囲で報告する。医療機関側からの報告と齟齬のないこ
とが要求されるが、緊急時における第一報の場合にはその精度は問わない。その場合、所定様式の
今後の対応欄に追加報告を行う旨記載し報告期日までに報告する。後日、追加報告時にはその精度
を高めるべく報告企業は努力すべきである。なお、医療機関側との整合はその時点において取られ
るべきである。
(2)サイバーセキュリティに関する不具合等報告
医療機器 CS に関する不具合等報告も、通常の不具合等報告と同様に(1)に示した各種法令、通
知等に基づき実施する。
収集した当該医療機器の脆弱性に関する情報に対して、有効性及び安全性等に関する影響等を製
造販売業者が評価し、CS に関連して医療機器に不具合が発生し、健康被害が発生した又は健康被害
の発生のおそれがある場合や、脆弱性に対し外国医療機器の安全確保措置が実施された場合には、
不具合等報告の要否を検討する必要がある。
報告すべき CS に関連して発生する医療機器の不具合としては、以下のような事例が想定される。
現時点では CS に関する不具合事例の蓄積が乏しいことから、製造販売業者は、当該例示のみを判
断材料とすることなく、使用状況や(想定される)健康被害等を十分に考慮し、医薬品医療機器等
法施行規則第 228 条の 20 第 2 項に従って適切に報告要否を判断する必要がある。事例は、一般社
団法人日本医療機器産業連合会(以下「医機連」という。
)PMS 委員会 不具合報告の手引き改訂 WG
傘下 サイバーセキュリティの不具合報告サブ WG にて、CS の不具合として討議された事例であ
り、本文書の他、不具合報告書等の手引書の改訂版を参照されたい。レガシー医療機器において発
生した事象についても、同様に不具合等報告の必要性を考慮すること。
医療機器全般に共通の事例
脆弱性が認められ、不正アクセスにより悪用の実績(誤動作、機能不全等)が発生した*。
あらかじめ計画されたアップグレードオプションが適用されず(不適切に放置された)
、
ネットワークに接続されたレガシー医療機器の脆弱性に対し不正アクセスにより悪用の
実績(誤動作、機能不全等)が発生した。
DDoS 攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)により、画像診
断装置等が意図せず機能停止した。
個別医療機器の事例
ネットワーク接続された輸液ポンプの未使用ネットワークポートに対する不正アクセス
により設定が変更され、輸液の過剰投与や意図しない停止が起こった。
インスリンポンプの設定が不正アクセスにより変更され、インスリンの投与量が想定の量
より増加し、低血糖に至った。
植込み型除細動器の設定が不正アクセスにより変更され、ペーシング不全又はセンシング
不全が発生したため、心停止状態の持続や不整脈が誘発された。
*:製造販売業者には EOS に至るまでのみならず EOS 後を含めた医療機器の製品ライフサイ
クル全体を通して発生した不具合に関する情報収集義務(医薬品医療機器等法 68 条の 2 の
6 第 1 項)及び行政報告義務(医薬品医療機器等法 68 条の 10 第 1 項)が残る。このため、
不正アクセスによる悪用の実績が EOS の前後にかかわらず、製造販売業者は不具合等報告
の必要性を適切に判断する必要がある。
なお、医薬品医療機器等法第 68 条の 9 第 1 項にあるように、医療機器 CS に関する安全管理体
4