よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (25 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.6.2.3
限定的サポート段階
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリーを顧客に提供する。製品に直
接関係しない脆弱性についても、一般的に緊急性が高い等深刻度が高いことが公開されている脆弱性に
ついては、当該製品が関係しないことを示すために評価記録を残す。また、顧客から提供を求められた場
合に応じることができるようセキュリティアドバイザリーを準備する。
製造販売業者は、医療機器が EOL を迎えた後のこの段階においては、患者の安全に重大な影響を与え
る場合を除き、一般的な不具合等の修正は実施しない。
医療機関は、製造販売業者から通知されたサポート終了に対する対応計画を作成し、必要に応じて実施
する場合がある。このため、製造販売業者は、この段階においてもファイアウォール等の補完的対策が導
入されるように計画しておく。
6.6.2.4
サポート終了(EOS)段階
製造販売業者は、医療機器が EOS を迎えた後においては、一般的な不具合等の修正だけでなく、脆弱
性の修正を含むセキュリティアップデートを実施しない。
製造販売業者は、EOS に際し、医療機器のセキュリティ状態に関する情報を顧客に提供すると同時に、
製品に関係する深刻度が高い脆弱性(例えば、緊急性が高い脆弱性)が発見された場合等、IT ネットワ
ーク等へ接続した状態での使用を保証できない場合は、製品をネットワークから外すことを含め、その旨
を顧客に通知する(6.2「情報共有」参照)。
製造販売業者は、EOS 後においても市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、
重大と判定された脆弱性については、評価結果を記録する。また、顧客から提供を求められた場合に応じ
ることができるよう注意喚起のためのセキュリティアドバイザリーを準備する。
6.6.3.
補完的リスクコントロールに関する考慮事項
ファイアウォール等の補完的リスクコントロールを実施することは、補完的リスクコントロール手段
のコストと、新しい機器を取得するコスト及びベネフィットを比較検討すること等技術的な準備及びリ
ソースの両面での検討が必要となる。
表 3 は、補完的リスクコントロールに対する一般的な推奨事項を示す。これらの推奨事項は、EOS 以
降だけでなく、EOS 以前でも適用される可能性がある。実施にあたっては、補完的リスクコントロール
が、特定の機器及びその運用環境に依存し、機器使用時の臨床的な意図を損なわないよう考慮する。表 3
24
25 / 39
限定的サポート段階
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリーを顧客に提供する。製品に直
接関係しない脆弱性についても、一般的に緊急性が高い等深刻度が高いことが公開されている脆弱性に
ついては、当該製品が関係しないことを示すために評価記録を残す。また、顧客から提供を求められた場
合に応じることができるようセキュリティアドバイザリーを準備する。
製造販売業者は、医療機器が EOL を迎えた後のこの段階においては、患者の安全に重大な影響を与え
る場合を除き、一般的な不具合等の修正は実施しない。
医療機関は、製造販売業者から通知されたサポート終了に対する対応計画を作成し、必要に応じて実施
する場合がある。このため、製造販売業者は、この段階においてもファイアウォール等の補完的対策が導
入されるように計画しておく。
6.6.2.4
サポート終了(EOS)段階
製造販売業者は、医療機器が EOS を迎えた後においては、一般的な不具合等の修正だけでなく、脆弱
性の修正を含むセキュリティアップデートを実施しない。
製造販売業者は、EOS に際し、医療機器のセキュリティ状態に関する情報を顧客に提供すると同時に、
製品に関係する深刻度が高い脆弱性(例えば、緊急性が高い脆弱性)が発見された場合等、IT ネットワ
ーク等へ接続した状態での使用を保証できない場合は、製品をネットワークから外すことを含め、その旨
を顧客に通知する(6.2「情報共有」参照)。
製造販売業者は、EOS 後においても市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、
重大と判定された脆弱性については、評価結果を記録する。また、顧客から提供を求められた場合に応じ
ることができるよう注意喚起のためのセキュリティアドバイザリーを準備する。
6.6.3.
補完的リスクコントロールに関する考慮事項
ファイアウォール等の補完的リスクコントロールを実施することは、補完的リスクコントロール手段
のコストと、新しい機器を取得するコスト及びベネフィットを比較検討すること等技術的な準備及びリ
ソースの両面での検討が必要となる。
表 3 は、補完的リスクコントロールに対する一般的な推奨事項を示す。これらの推奨事項は、EOS 以
降だけでなく、EOS 以前でも適用される可能性がある。実施にあたっては、補完的リスクコントロール
が、特定の機器及びその運用環境に依存し、機器使用時の臨床的な意図を損なわないよう考慮する。表 3
24
25 / 39