よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ確保のための手引書案 (9 ページ)
出典
| 公開元URL | |
| 出典情報 | 医療機関における医療機器のサイバーセキュリティ確保のための手引書案に関する御意見の募集について(12/26)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療機関向け手引書 V33B
229
230
231
[医療機器事業者から提供される情報の例]
・医療機器を使用するために必要な、医療機器周辺の一般 IT 機器等の支援インフラにつ
いての具体的なガイダンス
232
・安全性の強化につながる可能性のある設定に関する説明
233
・安全性の高いネットワーク接続及びサービスを可能にするための技術的指示(マルウ
234
235
236
ェア対策、ファイアウォール設定、ホワイトリスト、物理的セキュリティ検出等)
・サイバーセキュリティ上の脆弱性又はインシデントが検知された際の対応方法に関す
る指示
237
・医療機器に係るセキュリティインシデントが検出された場合に、これを通知する方法
238
に関する説明。なお、セキュリティインシデントの例としては、設定変更、ネットワ
239
ーク異常、ログイン試行等が挙げられる。
240
241
・医療機器の設定を保存し、復旧するための方法の説明。ただし、実行するためには医
療機器事業者からの権限の付与が必要な場合がある。
242
・製造販売業者からアップデート情報をダウンロードしてインストールするための対応
243
手順の説明。ただし、実行するためには医療機器事業者からの権限の付与が必要な場
244
合がある。
245
・医療機器のサポート終了に関する情報(「レガシー医療機器」参照)
246
・医療機器に実装されているオープンソース及び市販のソフトウェアに関する情報を含
247
む SBOM(ソフトウェア部品表)
。なお、SBOM は、販売時及び変更があった場合に
248
提供される。
249
・医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能
250
な、製造販売業者による医療機器セキュリティ開示書(Manufacturer Disclosure
251
Statement for Medical Device Security:MDS2)
252
② 保守、サービスに関する役割・責任の明確化
253
医療機器の保守・サービスは医療機関の責任において行うことになり、その一部を委託
254
する場合でも管理責任の主体はあくまでも医療機関になります。医療機関等の管理者は、
255
患者に対して、受託する事業者の助けを借りながら、
「説明責任」、
「管理責任」、
「維持・
256
改善の責任」及び「善後策を講じる責任」を果たす義務を負います。万一、サイバーセ
257
キュリティに関するインシデント発生等の何らかの不都合な事態が生じた場合において
258
も同様に、受託する事業者と連携しながら「説明責任」及び「善後策を講ずる責任」を
259
果たす必要がありますので、受託する事業者との契約において、受託する事業者の義務
260
を明記することが必要です。医療機器の納入前に締結し且つ定期的に見直す保守契約に
261
は、インシデント対応中に医療機器事業者及びその他の事業者が遵守すべき事項を記載
262
する必要があります。
263
③ インシデント発生時の対応手順の確立
264
医療機関は、サイバーセキュリティのインシデントを処理するためのポリシー、インシ
265
デントを緩和又は解決し、内外の責任関係者に関連情報を開示するための方法を予め確
266
立する必要があります。その中には、脆弱性の緩和に関する計画とリソース管理につい
267
ての検討を含みます。
9 / 19
229
230
231
[医療機器事業者から提供される情報の例]
・医療機器を使用するために必要な、医療機器周辺の一般 IT 機器等の支援インフラにつ
いての具体的なガイダンス
232
・安全性の強化につながる可能性のある設定に関する説明
233
・安全性の高いネットワーク接続及びサービスを可能にするための技術的指示(マルウ
234
235
236
ェア対策、ファイアウォール設定、ホワイトリスト、物理的セキュリティ検出等)
・サイバーセキュリティ上の脆弱性又はインシデントが検知された際の対応方法に関す
る指示
237
・医療機器に係るセキュリティインシデントが検出された場合に、これを通知する方法
238
に関する説明。なお、セキュリティインシデントの例としては、設定変更、ネットワ
239
ーク異常、ログイン試行等が挙げられる。
240
241
・医療機器の設定を保存し、復旧するための方法の説明。ただし、実行するためには医
療機器事業者からの権限の付与が必要な場合がある。
242
・製造販売業者からアップデート情報をダウンロードしてインストールするための対応
243
手順の説明。ただし、実行するためには医療機器事業者からの権限の付与が必要な場
244
合がある。
245
・医療機器のサポート終了に関する情報(「レガシー医療機器」参照)
246
・医療機器に実装されているオープンソース及び市販のソフトウェアに関する情報を含
247
む SBOM(ソフトウェア部品表)
。なお、SBOM は、販売時及び変更があった場合に
248
提供される。
249
・医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能
250
な、製造販売業者による医療機器セキュリティ開示書(Manufacturer Disclosure
251
Statement for Medical Device Security:MDS2)
252
② 保守、サービスに関する役割・責任の明確化
253
医療機器の保守・サービスは医療機関の責任において行うことになり、その一部を委託
254
する場合でも管理責任の主体はあくまでも医療機関になります。医療機関等の管理者は、
255
患者に対して、受託する事業者の助けを借りながら、
「説明責任」、
「管理責任」、
「維持・
256
改善の責任」及び「善後策を講じる責任」を果たす義務を負います。万一、サイバーセ
257
キュリティに関するインシデント発生等の何らかの不都合な事態が生じた場合において
258
も同様に、受託する事業者と連携しながら「説明責任」及び「善後策を講ずる責任」を
259
果たす必要がありますので、受託する事業者との契約において、受託する事業者の義務
260
を明記することが必要です。医療機器の納入前に締結し且つ定期的に見直す保守契約に
261
は、インシデント対応中に医療機器事業者及びその他の事業者が遵守すべき事項を記載
262
する必要があります。
263
③ インシデント発生時の対応手順の確立
264
医療機関は、サイバーセキュリティのインシデントを処理するためのポリシー、インシ
265
デントを緩和又は解決し、内外の責任関係者に関連情報を開示するための方法を予め確
266
立する必要があります。その中には、脆弱性の緩和に関する計画とリソース管理につい
267
ての検討を含みます。
9 / 19