よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (56 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
全ての責任関係者は、アップデートの即時適用が不可能又は望ましくない場合があり、
患者安全を確保する上で暫定措置が重要となり得ることを認識する必要がある。製造業
者又は規制当局が直接管理することなく、責任関係者自身がこれらの対策を実施しなけ
ればならない場合は特に重要である。例えば、対策の内容によっては、病院の IT 部門
以外実施できない場合がある。正しい修正戦略の実行性は、効果的な情報共有とユーザ
やメディア等の責任関係者の管理に依存している。なお、理想的な修正であっても、必
ずしも実施できない場合があることに留意する必要がある。その場合は、適切なリスク
緩和策及び補完的対策を適用することが望ましい。
6.4.2
ヘルスケアプロバイダ及び患者
a. アップデート
患者は専門の医療機関及び在宅医療環境において医療を受けるが、アップデート適用に
ついては、使用環境毎に考慮すべき特有の事項がある。2 例えば、在宅医療環境におい
ては、患者、介護者、信頼できる隣人又は家族の一員がユーザとなり得る。本項では、
アップデート適用に関する一般的な指針及び各使用環境に固有な考慮事項について概説
する。
IEC 62304:2006+AMD1:2015 「医療機器ソフトウェア − ソフトウェアライフサイクルプ
ロセス」の 6.2.5 項では、リリースした医療機器ソフトウェアの問題、変更の入手及び
インストール方法について、製造業者がユーザ及び規制当局に通知することを要求して
いる。製造業者が指定し、規制当局が承認した医療機器の特定のユーザは、製造業者が
提供するアップデートをインストール手順に従って適用することが期待される。この特
定ユーザは、製造業者の指針に従って、Web ページで提供されるサービス報告書及び
その他の情報にアクセスすることが望ましい。
妥当な期間内にアップデートが適用できない場合、製造業者は、医療 IT ネットワーク
のセグメント分け等の補完的対策又は医療機器のユーザ設定の変更を推奨する可能性が
ある。規制当局は、特定の種類の脆弱性に対する患者危害のリスクを低減するため、製
造業者に対して医療機器、付属品又はソフトウェア更新サーバ等の支援システムにおけ
る特定の機能の無効化を指示する可能性がある。いずれの場合も、ユーザは製造業者の
指針に従い、必要に応じて使用環境に関連するリスクを評価することが望ましい。3
2
IEC 60601-1-11:2015 医用電気機器-第 1-11 部:基礎安全及び基本性能に関する一般要求事項 − 副通則:
在宅医療環境における医用電気機器及び医用電気システムに対する要求事項では、「在宅医療環境」を
専門の医療施設を除く、患者の居住地又は患者がいるその他の場所と定義している。例として、「自動
車、バス、列車、船、飛行機の中、車椅子及び屋外の歩行」が挙げられている。
3
特定の状況ではユーザがリスクを適切に評価できないことが認識されている。
2020/3/18
Page 31 of 51
33/53 ページ
全ての責任関係者は、アップデートの即時適用が不可能又は望ましくない場合があり、
患者安全を確保する上で暫定措置が重要となり得ることを認識する必要がある。製造業
者又は規制当局が直接管理することなく、責任関係者自身がこれらの対策を実施しなけ
ればならない場合は特に重要である。例えば、対策の内容によっては、病院の IT 部門
以外実施できない場合がある。正しい修正戦略の実行性は、効果的な情報共有とユーザ
やメディア等の責任関係者の管理に依存している。なお、理想的な修正であっても、必
ずしも実施できない場合があることに留意する必要がある。その場合は、適切なリスク
緩和策及び補完的対策を適用することが望ましい。
6.4.2
ヘルスケアプロバイダ及び患者
a. アップデート
患者は専門の医療機関及び在宅医療環境において医療を受けるが、アップデート適用に
ついては、使用環境毎に考慮すべき特有の事項がある。2 例えば、在宅医療環境におい
ては、患者、介護者、信頼できる隣人又は家族の一員がユーザとなり得る。本項では、
アップデート適用に関する一般的な指針及び各使用環境に固有な考慮事項について概説
する。
IEC 62304:2006+AMD1:2015 「医療機器ソフトウェア − ソフトウェアライフサイクルプ
ロセス」の 6.2.5 項では、リリースした医療機器ソフトウェアの問題、変更の入手及び
インストール方法について、製造業者がユーザ及び規制当局に通知することを要求して
いる。製造業者が指定し、規制当局が承認した医療機器の特定のユーザは、製造業者が
提供するアップデートをインストール手順に従って適用することが期待される。この特
定ユーザは、製造業者の指針に従って、Web ページで提供されるサービス報告書及び
その他の情報にアクセスすることが望ましい。
妥当な期間内にアップデートが適用できない場合、製造業者は、医療 IT ネットワーク
のセグメント分け等の補完的対策又は医療機器のユーザ設定の変更を推奨する可能性が
ある。規制当局は、特定の種類の脆弱性に対する患者危害のリスクを低減するため、製
造業者に対して医療機器、付属品又はソフトウェア更新サーバ等の支援システムにおけ
る特定の機能の無効化を指示する可能性がある。いずれの場合も、ユーザは製造業者の
指針に従い、必要に応じて使用環境に関連するリスクを評価することが望ましい。3
2
IEC 60601-1-11:2015 医用電気機器-第 1-11 部:基礎安全及び基本性能に関する一般要求事項 − 副通則:
在宅医療環境における医用電気機器及び医用電気システムに対する要求事項では、「在宅医療環境」を
専門の医療施設を除く、患者の居住地又は患者がいるその他の場所と定義している。例として、「自動
車、バス、列車、船、飛行機の中、車椅子及び屋外の歩行」が挙げられている。
3
特定の状況ではユーザがリスクを適切に評価できないことが認識されている。
2020/3/18
Page 31 of 51
33/53 ページ