よむ、つかう、まなぶ。
【資料1】基本要件基準の一部改正について (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_30272.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・体外診断薬部会(令和4年度第9回 1/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療機器の基本要件基準(第十二条)改正案の解釈及び注釈
(プログラムを用いた医療機器に対す
る配慮)
第12条(略)
2
(略)
【条文解釈案】
○ プログラムを用いた医療機器は、当該医療機器で
想定されるネットワーク使用環境等を踏まえて、意図
する機能を妨げる又は安全性の懸念を生じるサイバー
セキュリティに係る危険性を特定、評価、低減する管
(案)3 プログラムを用いた医療機 理を行う必要がある。
器のうち、他の機器・ネットワーク等
と接続して使用する又は他からのアク ○ また、製品の全ライフサイクルに渡ってサイバー
セス等が想定される医療機器について セキュリティを確保するための計画(市販後の見直し
は、当該医療機器で想定されるネット に係る計画を含む)を事前に作成の上、当該計画が達
ワーク使用環境等を踏まえて、意図す 成されうる設計及び製造を行う必要がある。
る機能を妨げる又は安全性の懸念を生
じるサイバーセキュリティに係る危険 ○ 製販業者はこれまでもJIST2304によって、医療機器
性を特定、評価、低減する管理を行い、ソフトウェアライフサイクル全体を通じて、適切なリ
製品の全ライフサイクルに渡ってサイ スクマネジメントを実施することにより、医療機器製
バーセキュリティを確保するための計 品の安全性と基本性能を確保することが求められてき
画に基づいて設計及び製造されていな た。
ければならない。
○ これに加えて、JIST81001-5-1によって、サイバー
セキュリティに関するリスクを低減し、患者への危害
の発生及び拡大の防止に繋げる必要がある。
※ JIST81001-5-1(ヘルスソフトウェア及びヘルス
ITシステムの安全、有効性及びセキュリティー第5-1
部:セキュリティー製品ライフサイクルにおけるアク
ティビティ)は、医療機器の製造業者がJIST2304(医療
機器ソフトウェア開発ライフサイクルプロセス)に
従って開発を進める上で実施するサイバーセキュリ
ティに関する取り組みを規定している。
【注釈】
○ プログラムを用いた医療機器のうち、以下について本条文の対象
① 他の機器(医療機器、IoT機器、PCサプライ、電子カルテ、私
物PC)、ネットワーク(院内、院外、WiFi)、外部記録媒体(USB、
SD、HDD、CD、DVD)などに接続する医療機器
② 外部からアクセス可能な医療機器が対象。
○ 他からのアクセスが想定される医療機器とは、外部からアクセス
可能な医療機器であり。このアクセス等の「等」には、悪意を持った
不正アクセスや、意図的に以上なアクセス集中状況を発生させるDoS
(Denial of Service)攻撃によるアクセスなどを想定している。
○ 意図する機能を妨げる又は安全性の懸念を生じるサイバーセキュ
リティに係る危険性を特定、評価、低減する管理を行い
→
① 適切にグループポリシー等を適用し、不要な自動実行の停止、ア
クセス制限、動作権限制御を行う。
② 脅威分析による信頼境界線の確保を行う。
③ セキュリティリスクマネジメント(CVSSを用いたリスク評価、ア
ドバイザリーレポート作成、文書化)を行う。
○全ライフサイクルに渡ってサイバーセキュリティを確保するための
計画
→ 全ライフサイクルに渡ってサイバーセキュリティを確保するため、
既知の脆弱性対策、定期的なアップデート(OS、ソフトウェア、ハー
ドウェア)の導入等を事前にいつ、どのような場合に、どのように対
応するかを計画の上、その計画に基づき、それが達成できるように
(後から問題点や脆弱性が見つかった場合、それに対応できるよう
に)設計・製造を行う。
10 / 19
7
(プログラムを用いた医療機器に対す
る配慮)
第12条(略)
2
(略)
【条文解釈案】
○ プログラムを用いた医療機器は、当該医療機器で
想定されるネットワーク使用環境等を踏まえて、意図
する機能を妨げる又は安全性の懸念を生じるサイバー
セキュリティに係る危険性を特定、評価、低減する管
(案)3 プログラムを用いた医療機 理を行う必要がある。
器のうち、他の機器・ネットワーク等
と接続して使用する又は他からのアク ○ また、製品の全ライフサイクルに渡ってサイバー
セス等が想定される医療機器について セキュリティを確保するための計画(市販後の見直し
は、当該医療機器で想定されるネット に係る計画を含む)を事前に作成の上、当該計画が達
ワーク使用環境等を踏まえて、意図す 成されうる設計及び製造を行う必要がある。
る機能を妨げる又は安全性の懸念を生
じるサイバーセキュリティに係る危険 ○ 製販業者はこれまでもJIST2304によって、医療機器
性を特定、評価、低減する管理を行い、ソフトウェアライフサイクル全体を通じて、適切なリ
製品の全ライフサイクルに渡ってサイ スクマネジメントを実施することにより、医療機器製
バーセキュリティを確保するための計 品の安全性と基本性能を確保することが求められてき
画に基づいて設計及び製造されていな た。
ければならない。
○ これに加えて、JIST81001-5-1によって、サイバー
セキュリティに関するリスクを低減し、患者への危害
の発生及び拡大の防止に繋げる必要がある。
※ JIST81001-5-1(ヘルスソフトウェア及びヘルス
ITシステムの安全、有効性及びセキュリティー第5-1
部:セキュリティー製品ライフサイクルにおけるアク
ティビティ)は、医療機器の製造業者がJIST2304(医療
機器ソフトウェア開発ライフサイクルプロセス)に
従って開発を進める上で実施するサイバーセキュリ
ティに関する取り組みを規定している。
【注釈】
○ プログラムを用いた医療機器のうち、以下について本条文の対象
① 他の機器(医療機器、IoT機器、PCサプライ、電子カルテ、私
物PC)、ネットワーク(院内、院外、WiFi)、外部記録媒体(USB、
SD、HDD、CD、DVD)などに接続する医療機器
② 外部からアクセス可能な医療機器が対象。
○ 他からのアクセスが想定される医療機器とは、外部からアクセス
可能な医療機器であり。このアクセス等の「等」には、悪意を持った
不正アクセスや、意図的に以上なアクセス集中状況を発生させるDoS
(Denial of Service)攻撃によるアクセスなどを想定している。
○ 意図する機能を妨げる又は安全性の懸念を生じるサイバーセキュ
リティに係る危険性を特定、評価、低減する管理を行い
→
① 適切にグループポリシー等を適用し、不要な自動実行の停止、ア
クセス制限、動作権限制御を行う。
② 脅威分析による信頼境界線の確保を行う。
③ セキュリティリスクマネジメント(CVSSを用いたリスク評価、ア
ドバイザリーレポート作成、文書化)を行う。
○全ライフサイクルに渡ってサイバーセキュリティを確保するための
計画
→ 全ライフサイクルに渡ってサイバーセキュリティを確保するため、
既知の脆弱性対策、定期的なアップデート(OS、ソフトウェア、ハー
ドウェア)の導入等を事前にいつ、どのような場合に、どのように対
応するかを計画の上、その計画に基づき、それが達成できるように
(後から問題点や脆弱性が見つかった場合、それに対応できるよう
に)設計・製造を行う。
10 / 19
7