よむ、つかう、まなぶ。
医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00016.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第2回 3/7)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
制において、製造販売業者等は当該医療機器での不具合が発生した際には、適切な措置を講じるこ
とが重要である。さらに、通常の安全管理体制において、適時適切かつ積極的に情報収集するとと
もに、科学的に分析評価した上で、必要な情報を早急に医療機関等へ提供するなど必要な措置を講
じ、被害の拡大を防止することも重要である。また、発生原因を調査するとともに、自己検証を行
うことで、確実に以後の CS 実施体制を構築する必要がある。安全確保措置には以下のような手段
がある。
医療機関への情報提供
回収・改修等
添付文書、取扱説明書の改訂
同一製品への処置(販売停止、製造中止、廃棄等)
いずれの作業も重複して実施する場合がある。措置の実施に当たり、適切に記録することなどが
必要である。また、措置の実施に当たり都道府県、厚生労働省、PMDA への報告だけでなく、医療
機関、患者への連絡等、関係者への報告・情報共有についても検討が必要である。なお、安全確保
措置として緊急安全性情報等(イエローレター、ブルーレター)を作成する場合には、平成 26 年 10
月 31 日付け薬食安発 1031 第 1 号厚生労働省医薬食品局安全対策課長通知「緊急安全性情報等の提
供に関する指針について」を参照すること。
一方で、製造販売業者が、自社の医療機器の脆弱性情報、他社の医療機器にも関係する脆弱性情
報やセキュリティアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない
状況で開示すれば、即座にサイバー攻撃の標的になってしまうこともあるため、脆弱性情報を開示
するタイミングは注意を要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでな
く、場合によっては分野を超えた連携が必要な場合がある。この場合、製造販売業者は、規制当局
等と連携して、必要な調整を実施する協調的な脆弱性の開示(CVD:Coordinated Vulnerability
Disclosure)のプロセスを確立し実施する。
(3)脆弱性に関する対応
脆弱性に関しては、全てが報告の対象ではない。共通脆弱性スコアリングシステム(Common
Vulnerability Scoring System:CVSS)等の広く採用されている脆弱性スコアリングシステムを採用し
て透明性を確保分析・評価を行うことは有用であるが、一般の情報セキュリティにおける使用を想
定した CVSS スコア(基本値、現状値)は、医療機器として臨床環境や患者安全への影響へ置き換
え、再評価する必要がある。参考となる資料の一つに、MITRE 社が策定した医療機器向けのガイド
(MITRE Rubric for Applying CVSS to Medical Devices)がある。
製造販売業者は、脆弱性に関して当該医療機器のソフトウェア部品表(SBOM)及び設計情報等
から脆弱性が存在するソフトウェアの存在、使用の有無及び機能性能に関する影響等を評価し、使
用目的、使用部位、蓋然性等を総合的に判断した結果、当該脆弱性の悪用が原因で、死亡や重篤な
健康被害が発生した場合、又は発生するおそれがあると判断した場合には、報告の要否や区分を評
価、判断し、医薬品医療機器等法第 68 条の 10 第 1 項の規定により規制当局への不具合等の報告を
実施すること。上記評価の結果、当該医療機器において、脆弱性が存在するソフトウェアが使用さ
れていない場合、又はセキュリティパッチ等の対策により問題が除去又は機能性能に影響がない程
度にリスクを低減可能で健康被害が発生するおそれがないと判断できる場合は、製造販売業者は、
規制当局への不具合等の報告を実施する必要はない。但し、経時的にモニターし、報告の必要が出
てきた場合には報告する。
(4)レガシー医療機器に関する対応
医療機器の CS を考える上で、医療機器の製品ライフサイクルと製造販売業者の責任及び情報提
供について配慮する必要がある。既知の脆弱性情報等を対策した設計に基づく製品であっても、セ
キュリティアップデートが提供できなくなる EOS 後も継続して使用される場合、又は新たな緊急
5
とが重要である。さらに、通常の安全管理体制において、適時適切かつ積極的に情報収集するとと
もに、科学的に分析評価した上で、必要な情報を早急に医療機関等へ提供するなど必要な措置を講
じ、被害の拡大を防止することも重要である。また、発生原因を調査するとともに、自己検証を行
うことで、確実に以後の CS 実施体制を構築する必要がある。安全確保措置には以下のような手段
がある。
医療機関への情報提供
回収・改修等
添付文書、取扱説明書の改訂
同一製品への処置(販売停止、製造中止、廃棄等)
いずれの作業も重複して実施する場合がある。措置の実施に当たり、適切に記録することなどが
必要である。また、措置の実施に当たり都道府県、厚生労働省、PMDA への報告だけでなく、医療
機関、患者への連絡等、関係者への報告・情報共有についても検討が必要である。なお、安全確保
措置として緊急安全性情報等(イエローレター、ブルーレター)を作成する場合には、平成 26 年 10
月 31 日付け薬食安発 1031 第 1 号厚生労働省医薬食品局安全対策課長通知「緊急安全性情報等の提
供に関する指針について」を参照すること。
一方で、製造販売業者が、自社の医療機器の脆弱性情報、他社の医療機器にも関係する脆弱性情
報やセキュリティアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない
状況で開示すれば、即座にサイバー攻撃の標的になってしまうこともあるため、脆弱性情報を開示
するタイミングは注意を要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでな
く、場合によっては分野を超えた連携が必要な場合がある。この場合、製造販売業者は、規制当局
等と連携して、必要な調整を実施する協調的な脆弱性の開示(CVD:Coordinated Vulnerability
Disclosure)のプロセスを確立し実施する。
(3)脆弱性に関する対応
脆弱性に関しては、全てが報告の対象ではない。共通脆弱性スコアリングシステム(Common
Vulnerability Scoring System:CVSS)等の広く採用されている脆弱性スコアリングシステムを採用し
て透明性を確保分析・評価を行うことは有用であるが、一般の情報セキュリティにおける使用を想
定した CVSS スコア(基本値、現状値)は、医療機器として臨床環境や患者安全への影響へ置き換
え、再評価する必要がある。参考となる資料の一つに、MITRE 社が策定した医療機器向けのガイド
(MITRE Rubric for Applying CVSS to Medical Devices)がある。
製造販売業者は、脆弱性に関して当該医療機器のソフトウェア部品表(SBOM)及び設計情報等
から脆弱性が存在するソフトウェアの存在、使用の有無及び機能性能に関する影響等を評価し、使
用目的、使用部位、蓋然性等を総合的に判断した結果、当該脆弱性の悪用が原因で、死亡や重篤な
健康被害が発生した場合、又は発生するおそれがあると判断した場合には、報告の要否や区分を評
価、判断し、医薬品医療機器等法第 68 条の 10 第 1 項の規定により規制当局への不具合等の報告を
実施すること。上記評価の結果、当該医療機器において、脆弱性が存在するソフトウェアが使用さ
れていない場合、又はセキュリティパッチ等の対策により問題が除去又は機能性能に影響がない程
度にリスクを低減可能で健康被害が発生するおそれがないと判断できる場合は、製造販売業者は、
規制当局への不具合等の報告を実施する必要はない。但し、経時的にモニターし、報告の必要が出
てきた場合には報告する。
(4)レガシー医療機器に関する対応
医療機器の CS を考える上で、医療機器の製品ライフサイクルと製造販売業者の責任及び情報提
供について配慮する必要がある。既知の脆弱性情報等を対策した設計に基づく製品であっても、セ
キュリティアップデートが提供できなくなる EOS 後も継続して使用される場合、又は新たな緊急
5