よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (16 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添
医療機器のサイバーセキュリティの確保に関するガイダンス
背景
「サイバーセキュリティ基本法」(平成 26 年法律第 104 号)に基づき、内閣に「サイバーセ
キュリティ戦略本部」、内閣官房に「内閣サイバーセキュリティセンター」が平成 27 年 1 月に
設置され、「サイバーセキュリティ戦略」が平成 27 年 9 月 4 日に閣議決定された。
「サイバーセキュリティ」は、サイバーセキュリティ基本法第2条において、「電子的方式、
磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は
発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当
該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの
安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作
られた記録に係る記録媒体)を通じた電子計算機に対する不正な活動による被害の防止の
ために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること」と定義
されている。またサイバーリスクとは、そうした安全性や信頼性が損なわれ、危害(harm)(※
1)が生じるリスクと考えられる。
医療に関するサイバーセキュリティ対応に関しては、医療機関等の医療情報システムに
ついて、平成 17 年3月、厚生労働省から「医療情報システムの安全管理に関するガイドライ
ン」(以下、「安全管理ガイドライン」という。)第 1 版を示し、情勢に応じた随時の改定を経て、
平成 29 年 5 月の第 5 版に至っている。
また、医療機器のサイバーセキュリティについては、厚生労働省から「医療機器における
サイバーセキュリティの確保について」(平成 27 年 4 月 28 日付け薬食機参発 0428 第 1 号・
薬食安発 0428 第 1 号厚生労働大臣官房参事官(医療機器・再生医療等製品審査管理担
当)、厚生労働省医薬食品局安全対策課長連名通知。以下、「サイバーセキュリティ通知」と
いう。)にて、医療機器製造販売業者(以下、「製造販売業者」という。)に対し医療機器への
サイバーセキュリティ対応の考え方を示している。
製造販売業者は、有効性及び安全性を確保した医療機器を設計・製造して供給すること
を責務としており、加えて、医薬品、医薬部外品、化粧品、医療機器及び再生医療等製品の
製造販売後安全管理の基準に関する省令(平成 16 年厚生労働省令第 135 号。以下、「GVP
省令」という。)に基づき、販売後の使用における医療機器の有効性、安全性等に関する情
報収集・分析、必要に応じた対策等、適切な対応が求められている。このため、製造販売業
者は医療機器への悪意を持ったサイバー攻撃に対しても、使用環境を含めた医療機器の特
徴に応じて、サイバーセキュリティ対応にも取り組んでいく必要がある。
一般的に、情報セキュリティには、情報の機密性、完全性及び可用性の3つの要素を確
保することが求められる。機密性(Confidentiality)とは、正当な権限をもつ限られた者のみ
2/9 ページ
医療機器のサイバーセキュリティの確保に関するガイダンス
背景
「サイバーセキュリティ基本法」(平成 26 年法律第 104 号)に基づき、内閣に「サイバーセ
キュリティ戦略本部」、内閣官房に「内閣サイバーセキュリティセンター」が平成 27 年 1 月に
設置され、「サイバーセキュリティ戦略」が平成 27 年 9 月 4 日に閣議決定された。
「サイバーセキュリティ」は、サイバーセキュリティ基本法第2条において、「電子的方式、
磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は
発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当
該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの
安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作
られた記録に係る記録媒体)を通じた電子計算機に対する不正な活動による被害の防止の
ために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること」と定義
されている。またサイバーリスクとは、そうした安全性や信頼性が損なわれ、危害(harm)(※
1)が生じるリスクと考えられる。
医療に関するサイバーセキュリティ対応に関しては、医療機関等の医療情報システムに
ついて、平成 17 年3月、厚生労働省から「医療情報システムの安全管理に関するガイドライ
ン」(以下、「安全管理ガイドライン」という。)第 1 版を示し、情勢に応じた随時の改定を経て、
平成 29 年 5 月の第 5 版に至っている。
また、医療機器のサイバーセキュリティについては、厚生労働省から「医療機器における
サイバーセキュリティの確保について」(平成 27 年 4 月 28 日付け薬食機参発 0428 第 1 号・
薬食安発 0428 第 1 号厚生労働大臣官房参事官(医療機器・再生医療等製品審査管理担
当)、厚生労働省医薬食品局安全対策課長連名通知。以下、「サイバーセキュリティ通知」と
いう。)にて、医療機器製造販売業者(以下、「製造販売業者」という。)に対し医療機器への
サイバーセキュリティ対応の考え方を示している。
製造販売業者は、有効性及び安全性を確保した医療機器を設計・製造して供給すること
を責務としており、加えて、医薬品、医薬部外品、化粧品、医療機器及び再生医療等製品の
製造販売後安全管理の基準に関する省令(平成 16 年厚生労働省令第 135 号。以下、「GVP
省令」という。)に基づき、販売後の使用における医療機器の有効性、安全性等に関する情
報収集・分析、必要に応じた対策等、適切な対応が求められている。このため、製造販売業
者は医療機器への悪意を持ったサイバー攻撃に対しても、使用環境を含めた医療機器の特
徴に応じて、サイバーセキュリティ対応にも取り組んでいく必要がある。
一般的に、情報セキュリティには、情報の機密性、完全性及び可用性の3つの要素を確
保することが求められる。機密性(Confidentiality)とは、正当な権限をもつ限られた者のみ
2/9 ページ