よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ確保のための手引書案 (6 ページ)
出典
| 公開元URL | |
| 出典情報 | 医療機関における医療機器のサイバーセキュリティ確保のための手引書案に関する御意見の募集について(12/26)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療機関向け手引書 V33B
140
医療機器事業者やサービス事業者等に委託することは出来ますが、医療機関の責任の下で行
141
うものであり、それに関する契約(役割等)を明確にしておくことが必要となります。
142
143
3-2.ステークホルダーとの連携
144
医療機器事業者は、薬機法に従ってサイバーセキュリティ対応を含めた医療機器の市販前、
145
市販後の対応を行います。
146
医療機関においては、サイバーセキュリティ対応を行う医療機器事業者等と連携した取り組
147
みを行うことが必要です。医療機関に医療機器を導入する際、およびこれを運用・管理する
148
際には、医療機器事業者はもちろん、医療情報システムや医療機器の導入やメンテナンス等
149
を担うサービス提供者との連携を図ることが重要です。この連携を進めるためには、医療機
150
関における医療機器のネットワークへの接続状況を可視化し関係者と共有出来るようにする
151
ためのネットワーク構成図等(後述)を整備することも有用です。
152
153
3-3.製品ライフサイクル全体(TPLC)とリスクマネジメント
154
医療機関が医療機器を導入した後も、サイバー攻撃は年々高度化し、リスクが新たに発生ま
155
たは明らかになります。また医療機器事業者からは EOL(製品寿命終了)/EOS(サポート
156
終了)などに関して、医療機器の製品寿命およびサポート条件に関する情報も提供されます。
157
医療機関は、医療機器の導入時に必要な情報を収集し、想定されるリスクを評価し、受容可
158
能なレベルまで低減するというリスクマネジメントを行うとともに、医療機器を導入した後
159
も、医療機器の使用を終了するまでの製品ライフサイクル全体(TPLC)にわたり、関連す
160
る情報を逐次収集し、脅威の増加に伴うリスクを評価し、対策を検討し、リスクが受容され
161
るまで低減できるかを評価したうえで、適切な対策を追加するといったリスクマネジメント
162
の PDCA を継続して実施することが必要です。
163
このようなリスクマネジメントは医療機関、医療機器事業者、サービス提供者、その他ステ
164
ークホルダーのそれぞれで実施するとともに、互いに連携して実施することが必要です。
165
166
3-4.サイバーセキュリティ対応の国際整合
167
サイバー攻撃は激しさを増し、国境の枠組みを超えて行われているとともに、常に新しい脅
168
威が出現しています。このような意図的な脅威から発生するリスクへの対応のためには、従
169
来から行ってきた医療機器事業者による医療機器のサイバーセキュリティ対応も国際調和を
170
図るとともに、すべてのステークホルダーとの連携による協力関係を構築することが重要に
171
なります。IMDRF ガイダンス(前述)では、一般原則として国際整合、製品ライフサイク
172
ル全体、共同責任、情報共有が示され、医療機器事業者、医療機関、サービス事業者等のス
173
テークホルダーに対して、連携してサイバーセキュリティ対応を行うことが求められており、
174
薬機法へ取り入れられること(前述)に伴い、医療機器事業者が医療機器について対応する
175
ことになります。医療機関においても、このようなサイバーセキュリティ対応の重要性を理
176
解し、連携した取り組みをすることが必要です。
177
178
4.医療機関の取り組みの実際
6 / 19
140
医療機器事業者やサービス事業者等に委託することは出来ますが、医療機関の責任の下で行
141
うものであり、それに関する契約(役割等)を明確にしておくことが必要となります。
142
143
3-2.ステークホルダーとの連携
144
医療機器事業者は、薬機法に従ってサイバーセキュリティ対応を含めた医療機器の市販前、
145
市販後の対応を行います。
146
医療機関においては、サイバーセキュリティ対応を行う医療機器事業者等と連携した取り組
147
みを行うことが必要です。医療機関に医療機器を導入する際、およびこれを運用・管理する
148
際には、医療機器事業者はもちろん、医療情報システムや医療機器の導入やメンテナンス等
149
を担うサービス提供者との連携を図ることが重要です。この連携を進めるためには、医療機
150
関における医療機器のネットワークへの接続状況を可視化し関係者と共有出来るようにする
151
ためのネットワーク構成図等(後述)を整備することも有用です。
152
153
3-3.製品ライフサイクル全体(TPLC)とリスクマネジメント
154
医療機関が医療機器を導入した後も、サイバー攻撃は年々高度化し、リスクが新たに発生ま
155
たは明らかになります。また医療機器事業者からは EOL(製品寿命終了)/EOS(サポート
156
終了)などに関して、医療機器の製品寿命およびサポート条件に関する情報も提供されます。
157
医療機関は、医療機器の導入時に必要な情報を収集し、想定されるリスクを評価し、受容可
158
能なレベルまで低減するというリスクマネジメントを行うとともに、医療機器を導入した後
159
も、医療機器の使用を終了するまでの製品ライフサイクル全体(TPLC)にわたり、関連す
160
る情報を逐次収集し、脅威の増加に伴うリスクを評価し、対策を検討し、リスクが受容され
161
るまで低減できるかを評価したうえで、適切な対策を追加するといったリスクマネジメント
162
の PDCA を継続して実施することが必要です。
163
このようなリスクマネジメントは医療機関、医療機器事業者、サービス提供者、その他ステ
164
ークホルダーのそれぞれで実施するとともに、互いに連携して実施することが必要です。
165
166
3-4.サイバーセキュリティ対応の国際整合
167
サイバー攻撃は激しさを増し、国境の枠組みを超えて行われているとともに、常に新しい脅
168
威が出現しています。このような意図的な脅威から発生するリスクへの対応のためには、従
169
来から行ってきた医療機器事業者による医療機器のサイバーセキュリティ対応も国際調和を
170
図るとともに、すべてのステークホルダーとの連携による協力関係を構築することが重要に
171
なります。IMDRF ガイダンス(前述)では、一般原則として国際整合、製品ライフサイク
172
ル全体、共同責任、情報共有が示され、医療機器事業者、医療機関、サービス事業者等のス
173
テークホルダーに対して、連携してサイバーセキュリティ対応を行うことが求められており、
174
薬機法へ取り入れられること(前述)に伴い、医療機器事業者が医療機器について対応する
175
ことになります。医療機関においても、このようなサイバーセキュリティ対応の重要性を理
176
解し、連携した取り組みをすることが必要です。
177
178
4.医療機関の取り組みの実際
6 / 19