よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (65 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
6.6.1
医療機器製造業者
医療機器のサイバーセキュリティ対策は、図 2 に示したとおり、商用リリース前の医療
機器の設計開発段階から開始される。医療機器の完全なサポート、すなわち現在のサイ
バーセキュリティの脅威に対する合理的な保護手段の提供は、TPLC のフレームワーク
に基づいて、製造業者が公開した製品寿命終了(EOL)まで継続することが望ましい。
製造業者が公表するサイバーセキュリティ EOL は、その期日以降、医療機器の総合的
なサイバーセキュリティのサポートが大幅に縮小され、保証されなくなることを意味す
る。製造業者は、サイバーセキュリティ EOL が近づいた時点で顧客に対して、EOL 以
降も限定的なサポートを提供することを通知すると共に、医療機器のサイバーセキュリ
ティのサポート終了日(EOS 日)を明示することが望ましい。医療機器のユーザは、
製造業者が指定したサイバーセキュリティ EOS の期日以降、該当する医療機器に対す
る全てのサポートを受けることができないと考えることが望ましい。
サイバーセキュリティ EOS の期日に達した医療機器は、この概念フレームワークに基
づいて、現在のサイバーセキュリティの脅威に対して合理的に保護できないレガシー医
療機器とみなし、使用を終了することが望ましい。医療機器のセキュリティを維持する
責任及び EOS 日以降も機器を使用し続けたことによるリスクは、この時点でヘルスケ
アプロバイダ等の顧客に移転される。
なお、医療機器によっては、サポートが終了しておりセキュリティ上のパッチを適用で
きない古いオペレーティングシステムを使用している場合等、設計変更を行うことはで
きないが、補完的対策を実施することにより、相応に保護できる可能性がある。本フレ
ームワークにおいて、利用可能且つ実績のある補完的対策が存在する医療機器について
は、レガシー医療機器とみなさない。規制当局は、ヘルスケアプロバイダが EOS 日以
降の事業継続計画を作成するための十分な時間を確保できるように、必要に応じて、現
在の医療機器において EOL 日以降に発生するセキュリティ上の課題に対応するための
補完的対策を実施するよう製造業者に推奨する。医療機器の設計、脆弱性の管理及び顧
客との情報共有は、医療機器のサイバーセキュリティに関する課題に取り組む上で全て
重要な役割を果たす。製造業者へ向けた医療機器のライフサイクルステージの機能に関
する推奨事項は、以下に示したとおりである。
●
開発:
a.
医療機器を構成するハードウェア及びソフトウェアコンポーネントのサポート
ライフサイクルを考慮する。製造業者は、医療機器のユーザを総合的にサポー
トするため、品質やパフォーマンス、セキュリティに関する問題を解決するた
めのソフトウェア及びファームウェアのアップデート適用に関して、該当する
ハードウェア及びソフトウェアベンダーからのサポートを受けることが望まし
い。製造業者は、利用期間中の製品の安全性と有効性を維持するために必要な
サポートを予測することが望ましい。製造業者は、ヘルスケアプロバイダが想
定する医療機器ライフサイクル期間中にサードパーティーベンダーのサポート
2020/3/18
Page 40 of 51
42/53 ページ
6.6.1
医療機器製造業者
医療機器のサイバーセキュリティ対策は、図 2 に示したとおり、商用リリース前の医療
機器の設計開発段階から開始される。医療機器の完全なサポート、すなわち現在のサイ
バーセキュリティの脅威に対する合理的な保護手段の提供は、TPLC のフレームワーク
に基づいて、製造業者が公開した製品寿命終了(EOL)まで継続することが望ましい。
製造業者が公表するサイバーセキュリティ EOL は、その期日以降、医療機器の総合的
なサイバーセキュリティのサポートが大幅に縮小され、保証されなくなることを意味す
る。製造業者は、サイバーセキュリティ EOL が近づいた時点で顧客に対して、EOL 以
降も限定的なサポートを提供することを通知すると共に、医療機器のサイバーセキュリ
ティのサポート終了日(EOS 日)を明示することが望ましい。医療機器のユーザは、
製造業者が指定したサイバーセキュリティ EOS の期日以降、該当する医療機器に対す
る全てのサポートを受けることができないと考えることが望ましい。
サイバーセキュリティ EOS の期日に達した医療機器は、この概念フレームワークに基
づいて、現在のサイバーセキュリティの脅威に対して合理的に保護できないレガシー医
療機器とみなし、使用を終了することが望ましい。医療機器のセキュリティを維持する
責任及び EOS 日以降も機器を使用し続けたことによるリスクは、この時点でヘルスケ
アプロバイダ等の顧客に移転される。
なお、医療機器によっては、サポートが終了しておりセキュリティ上のパッチを適用で
きない古いオペレーティングシステムを使用している場合等、設計変更を行うことはで
きないが、補完的対策を実施することにより、相応に保護できる可能性がある。本フレ
ームワークにおいて、利用可能且つ実績のある補完的対策が存在する医療機器について
は、レガシー医療機器とみなさない。規制当局は、ヘルスケアプロバイダが EOS 日以
降の事業継続計画を作成するための十分な時間を確保できるように、必要に応じて、現
在の医療機器において EOL 日以降に発生するセキュリティ上の課題に対応するための
補完的対策を実施するよう製造業者に推奨する。医療機器の設計、脆弱性の管理及び顧
客との情報共有は、医療機器のサイバーセキュリティに関する課題に取り組む上で全て
重要な役割を果たす。製造業者へ向けた医療機器のライフサイクルステージの機能に関
する推奨事項は、以下に示したとおりである。
●
開発:
a.
医療機器を構成するハードウェア及びソフトウェアコンポーネントのサポート
ライフサイクルを考慮する。製造業者は、医療機器のユーザを総合的にサポー
トするため、品質やパフォーマンス、セキュリティに関する問題を解決するた
めのソフトウェア及びファームウェアのアップデート適用に関して、該当する
ハードウェア及びソフトウェアベンダーからのサポートを受けることが望まし
い。製造業者は、利用期間中の製品の安全性と有効性を維持するために必要な
サポートを予測することが望ましい。製造業者は、ヘルスケアプロバイダが想
定する医療機器ライフサイクル期間中にサードパーティーベンダーのサポート
2020/3/18
Page 40 of 51
42/53 ページ