よむ、つかう、まなぶ。
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について (4 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00016.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第2回 3/7)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
Q8:JIS T 81001-5-1 の附属書 F トランジションヘルスソフトウェアを適用した場合、令和5年5
月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活衛生局医療機器審査管理課
長通知の1.(2) JIS T 81001-5-1 の箇条5のソフトウェア開発プロセスについてのうち、「開
発計画において、セキュリティ更新や開発環境等のセキュリティについて考慮すること。」、
「意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこ
と。」及び「セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。」の記
載をどのようにすれば良いか。
A8:JIS T 81001-5-1 の附属書 F トランジションヘルスソフトウェアを適用する場合は、箇条4を
実施し、5.2、5.7 及び 7.1 から 7.3 までの要求事項とのギャップ分析を含むギャップ解消ア
クティビティを実行し、ギャップ解消アクティビティのアウトプットに基づくトランジションヘル
スソフトウェアの継続使用の根拠をトランジションヘルスソフトウェアのバージョンとともに文
書化すること。また、トランジションヘルスソフトウェアを箇条6から箇条9までの要求事項に
適合させるために移行計画を確立し、利用可能にすること。箇条6から箇条9までに規定
するリリース後のアクティビティを履行すること。
なお、結果として、令和5年5月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活
衛生局医療機器審査管理課長通知で求める確認の際の留意点のうち、箇条5のソフトウェ
ア開発プロセスに係る次の事項については、記載が不要とできるが、その他の項目につい
ては、確認が必要であり、継続仕様の根拠等についても示す必要がある。
・ 開発計画を策定する際に、セキュリティ更新や開発環境等のセキュリティについて考慮
すること。
・ 意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこと。
・ セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。
別添にトランジションヘルスソフトウェアを適用した場合の記載事例を示す。
Q9:外部委託先で製造されているが、開発時期が古く、製品標準書や設計開発の文書では使
用ソフトが明らかになっていない医療機器について、SBOM を作成するために必要な情報
が外部委託先から十分に提供されない場合や、独自開発されたソフトで脆弱性や脅威に
関する情報やセキュリティに関する情報が保管されていない場合、この医療機器の製造販
売を継続するためには製造販売業者としてどのように対処すれば良いか。
A9:基本要件基準の平成 26 年改正で、ソフトウェアのライフサイクル要件(JIS T 2304 等)が導
入され、平成 29 年 11 月 25 日以降は基準への適合が必須となったことから、それ以降に
設計開発された品目では構成管理情報が存在するため、そこから SBOM は作成可能であ
る。
また、ライフサイクル要件が求められる前に開発された品目に対しては、平成 29 年5月 17
日付け薬生機審発 0517 第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通
3
月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活衛生局医療機器審査管理課
長通知の1.(2) JIS T 81001-5-1 の箇条5のソフトウェア開発プロセスについてのうち、「開
発計画において、セキュリティ更新や開発環境等のセキュリティについて考慮すること。」、
「意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこ
と。」及び「セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。」の記
載をどのようにすれば良いか。
A8:JIS T 81001-5-1 の附属書 F トランジションヘルスソフトウェアを適用する場合は、箇条4を
実施し、5.2、5.7 及び 7.1 から 7.3 までの要求事項とのギャップ分析を含むギャップ解消ア
クティビティを実行し、ギャップ解消アクティビティのアウトプットに基づくトランジションヘル
スソフトウェアの継続使用の根拠をトランジションヘルスソフトウェアのバージョンとともに文
書化すること。また、トランジションヘルスソフトウェアを箇条6から箇条9までの要求事項に
適合させるために移行計画を確立し、利用可能にすること。箇条6から箇条9までに規定
するリリース後のアクティビティを履行すること。
なお、結果として、令和5年5月 23 日付け薬生機審発 0523 第1号厚生労働省医薬・生活
衛生局医療機器審査管理課長通知で求める確認の際の留意点のうち、箇条5のソフトウェ
ア開発プロセスに係る次の事項については、記載が不要とできるが、その他の項目につい
ては、確認が必要であり、継続仕様の根拠等についても示す必要がある。
・ 開発計画を策定する際に、セキュリティ更新や開発環境等のセキュリティについて考慮
すること。
・ 意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこと。
・ セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。
別添にトランジションヘルスソフトウェアを適用した場合の記載事例を示す。
Q9:外部委託先で製造されているが、開発時期が古く、製品標準書や設計開発の文書では使
用ソフトが明らかになっていない医療機器について、SBOM を作成するために必要な情報
が外部委託先から十分に提供されない場合や、独自開発されたソフトで脆弱性や脅威に
関する情報やセキュリティに関する情報が保管されていない場合、この医療機器の製造販
売を継続するためには製造販売業者としてどのように対処すれば良いか。
A9:基本要件基準の平成 26 年改正で、ソフトウェアのライフサイクル要件(JIS T 2304 等)が導
入され、平成 29 年 11 月 25 日以降は基準への適合が必須となったことから、それ以降に
設計開発された品目では構成管理情報が存在するため、そこから SBOM は作成可能であ
る。
また、ライフサイクル要件が求められる前に開発された品目に対しては、平成 29 年5月 17
日付け薬生機審発 0517 第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通
3