よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ確保のための手引書案 (18 ページ)
出典
| 公開元URL | |
| 出典情報 | 医療機関における医療機器のサイバーセキュリティ確保のための手引書案に関する御意見の募集について(12/26)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療機関向け手引書 V33B
480
守しているかのチェックリストではなく、幅広くサイバーセキュリティ対策に特化した内
481
容 となっていることに留意されたい。』となっており、IoT 機器を利用する場合の項目も含
482
まれている。
483
484
【参考 3】薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)
485
我が国においては、医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及
486
び安全性の確保等に関する法律(昭和 35 年法律第 145 号、以下「薬機法」という)に紐づ
487
く医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項
488
の規定により厚生労働大臣が定める医療機器の基準(平成 17 年 3 月 29 日付け厚生労働省
489
告示第 122 号、以下「基本要件基準」)によってサイバーセキュリティを含むリスクマネジ
490
メントが求められ、使用者に対する情報提供や注意喚起を含めて最新の技術に立脚して医
491
療機器の安全を確保しなくてはならないこととされている。
492
具体的には、
「医療機器におけるサイバーセキュリティの確保について」
(平成 27 年通知)
493
によって、サイバーセキュリティ上のリスクが懸念される医療機器のうち、無線又は有線
494
により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は
495
USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。
)との接続
496
が可能な医療機器について、不正なアクセス等が想定されるため、製造販売業者は、サイ
497
バーセキュリティ上のリスクを含む危険性を評価・除去し、防護するリスクマネジメント
498
を行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととして
499
いる。また、必要なサイバーセキュリティの確保がなされていない医療機器については、
500
使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施
501
されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが
502
示されている。その後、医療機器のサイバーセキュリティに関する具体的な対策及び処置
503
の考え方について「医療機器のサイバーセキュリティの確保に関するガイダンス」
(平成 30
504
年通知)として取りまとめられた。さらに、このガイダンスを置き換えるものとして 2021
505
年 12 月に「医療機器のサイバーセキュリティ導入に関する手引書」が発出され、医療機器
506
へのサイバー攻撃に対する国際的な耐性基準等の技術要件を我が国へ導入して整備するこ
507
とが示されている。
508
医療機器の使用環境の特定、意図する使用環境におけるサイバーセキュリティ上のリスク
509
に対するリスクマネジメントの実施、必要な対策、その結果リスクが受容可能になること
510
の説明、サイバーセキュリティ上のリスクに伴う医療機器の不具合等についても GVP 省令
511
に基づき、GVP 省令における安全性情報として取り扱い、関係者と連携を図り、適切な市
512
販後の安全確保が求められている。
513
514
【参考 4】IMDRF ガイダンス(医療機器サイバーセキュリティガイダンス)
515
・発行:IMDRF(国際医療機器規制当局フォーラム)、2020 年 3 月 18 日
516
・原文URL:http://www.imdrf.org/documents/documents.asp
517
・ガイダンスの一般原則:
518
医療機器を開発、規制、使用、監視する際に責任関係者が検討すべき、医療機器のサイバ
18 / 19
480
守しているかのチェックリストではなく、幅広くサイバーセキュリティ対策に特化した内
481
容 となっていることに留意されたい。』となっており、IoT 機器を利用する場合の項目も含
482
まれている。
483
484
【参考 3】薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)
485
我が国においては、医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及
486
び安全性の確保等に関する法律(昭和 35 年法律第 145 号、以下「薬機法」という)に紐づ
487
く医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項
488
の規定により厚生労働大臣が定める医療機器の基準(平成 17 年 3 月 29 日付け厚生労働省
489
告示第 122 号、以下「基本要件基準」)によってサイバーセキュリティを含むリスクマネジ
490
メントが求められ、使用者に対する情報提供や注意喚起を含めて最新の技術に立脚して医
491
療機器の安全を確保しなくてはならないこととされている。
492
具体的には、
「医療機器におけるサイバーセキュリティの確保について」
(平成 27 年通知)
493
によって、サイバーセキュリティ上のリスクが懸念される医療機器のうち、無線又は有線
494
により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は
495
USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。
)との接続
496
が可能な医療機器について、不正なアクセス等が想定されるため、製造販売業者は、サイ
497
バーセキュリティ上のリスクを含む危険性を評価・除去し、防護するリスクマネジメント
498
を行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととして
499
いる。また、必要なサイバーセキュリティの確保がなされていない医療機器については、
500
使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施
501
されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが
502
示されている。その後、医療機器のサイバーセキュリティに関する具体的な対策及び処置
503
の考え方について「医療機器のサイバーセキュリティの確保に関するガイダンス」
(平成 30
504
年通知)として取りまとめられた。さらに、このガイダンスを置き換えるものとして 2021
505
年 12 月に「医療機器のサイバーセキュリティ導入に関する手引書」が発出され、医療機器
506
へのサイバー攻撃に対する国際的な耐性基準等の技術要件を我が国へ導入して整備するこ
507
とが示されている。
508
医療機器の使用環境の特定、意図する使用環境におけるサイバーセキュリティ上のリスク
509
に対するリスクマネジメントの実施、必要な対策、その結果リスクが受容可能になること
510
の説明、サイバーセキュリティ上のリスクに伴う医療機器の不具合等についても GVP 省令
511
に基づき、GVP 省令における安全性情報として取り扱い、関係者と連携を図り、適切な市
512
販後の安全確保が求められている。
513
514
【参考 4】IMDRF ガイダンス(医療機器サイバーセキュリティガイダンス)
515
・発行:IMDRF(国際医療機器規制当局フォーラム)、2020 年 3 月 18 日
516
・原文URL:http://www.imdrf.org/documents/documents.asp
517
・ガイダンスの一般原則:
518
医療機器を開発、規制、使用、監視する際に責任関係者が検討すべき、医療機器のサイバ
18 / 19