よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (19 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
五十
音順
用語
出典
情報共有分析機関(Information Sharing and Analysis Organizations:ISAOs)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、患者やユーザーとの連絡や
調整を含む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪
用を最小限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を
支援することが可能である。情報共有分析センター(Information Sharing and
Analysis Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連(一般社団法人日本医療機器産
業連合会)及び JAHIS(一般社団法人保健医療福祉情報システム工業会)はオブザ
ーバーとして参加しており、この各加盟団体及び加盟企業は医療セプターのサイバ
ーセキュリティ情報を活用できる。
(製造販売業者向け手引
書より)
脆弱性
システムのセキュリティポリシーを破るために悪用される可能性のある、システム
の設計・実装又は運用・管理における欠陥又は弱点
一つ以上の脅威によって悪用される可能性のある資産又は管理策の弱点
JIS T 81001-1:2022 より
JIS Q 27000:2019
(製造販売業者向け手引
書より)
セキュリティアドバイザリー
次のような情報を提供する。
・他社製品あるいは一般的な技術に関する脆弱性で自社製品に大きな影響を与える
もの
・自社関連の脆弱性に関する情報の捕捉、追加
・まだ修正モジュールが作成されていない脆弱性に関する情報
(製造販売業者向け手引
書より)
製品寿命終了(End of Life:EOL)
製品のライフサイクルにおいて、製造業者が定めた有効期間を超えた製品の販売を
終了し、製品について正式な EOL プロセス(ユーザーへの通知等)を実施する段
階。
IMDRF ガイダンス和訳
より(製造販売業者向け
手引書より)
そ
ソフトウェア部品表(SBOM)
医療機器製品に実装されているオープンソース及び市販のソフトウェア部品表患者
を含む医療機器のユーザーが、その資産を効果的に管理し、医療機器及び接続され
るシステムに対して識別された脆弱性の潜在的影響を理解し、医療機器の安全性及
び性能を維持するための対応を可能にするものとして位置づけられる。SBOM は販
売時及び変更があった場合、顧客に通知する。またこれ以外に、製品導入の検討に
あたって開示を求められる場合もある。
(製造販売業者向け手引
書より)
な
内閣サイバーセキュリティセンター(NISC)
「サイバーセキュリティ基本法」/「サイバーセキュリティ戦略」を踏まえ、
「第 4
次行動計画( 2018 年改定)
」に基づき、内閣官房に設置されている
ひ
PSIRT
組織が提供する製品の脆弱性に起因するリスクに対応するための組織内機能。自社
製品の脆弱性への対応、製品のセキュリティ品質管理・向上を目的とした組織
JPCERT https://www.jpcert.or.jp/research/psirtSF.html
(一般社団法人コンピュータソフトウェア協会、JPCERT/CC)
脆弱性対処に向けた製品開発者向けガイド(IPA)
https://www.ipa.go.jp/files/000085024.pdf
PSIRT Services Framework 1.0 日本語版
https://www.first.org/standards/frameworks/psirts/FIRST_PSIRT_Services_Fra
mework_v1.0_jp.pdf
(製造販売業者向け手引
書より)
れ
レガシー医療機器
現在のサイバーセキュリティの脅威に対してアップデート又は補完的対策等の合
理的な手段で保護できない医療機器で、販売開始以降の年数にかかわらない。
IMDRF ガイダンス和訳
より、一部修正(製造販
売業者向け手引書より)
せ
17
19 / 22
音順
用語
出典
情報共有分析機関(Information Sharing and Analysis Organizations:ISAOs)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、患者やユーザーとの連絡や
調整を含む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪
用を最小限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を
支援することが可能である。情報共有分析センター(Information Sharing and
Analysis Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連(一般社団法人日本医療機器産
業連合会)及び JAHIS(一般社団法人保健医療福祉情報システム工業会)はオブザ
ーバーとして参加しており、この各加盟団体及び加盟企業は医療セプターのサイバ
ーセキュリティ情報を活用できる。
(製造販売業者向け手引
書より)
脆弱性
システムのセキュリティポリシーを破るために悪用される可能性のある、システム
の設計・実装又は運用・管理における欠陥又は弱点
一つ以上の脅威によって悪用される可能性のある資産又は管理策の弱点
JIS T 81001-1:2022 より
JIS Q 27000:2019
(製造販売業者向け手引
書より)
セキュリティアドバイザリー
次のような情報を提供する。
・他社製品あるいは一般的な技術に関する脆弱性で自社製品に大きな影響を与える
もの
・自社関連の脆弱性に関する情報の捕捉、追加
・まだ修正モジュールが作成されていない脆弱性に関する情報
(製造販売業者向け手引
書より)
製品寿命終了(End of Life:EOL)
製品のライフサイクルにおいて、製造業者が定めた有効期間を超えた製品の販売を
終了し、製品について正式な EOL プロセス(ユーザーへの通知等)を実施する段
階。
IMDRF ガイダンス和訳
より(製造販売業者向け
手引書より)
そ
ソフトウェア部品表(SBOM)
医療機器製品に実装されているオープンソース及び市販のソフトウェア部品表患者
を含む医療機器のユーザーが、その資産を効果的に管理し、医療機器及び接続され
るシステムに対して識別された脆弱性の潜在的影響を理解し、医療機器の安全性及
び性能を維持するための対応を可能にするものとして位置づけられる。SBOM は販
売時及び変更があった場合、顧客に通知する。またこれ以外に、製品導入の検討に
あたって開示を求められる場合もある。
(製造販売業者向け手引
書より)
な
内閣サイバーセキュリティセンター(NISC)
「サイバーセキュリティ基本法」/「サイバーセキュリティ戦略」を踏まえ、
「第 4
次行動計画( 2018 年改定)
」に基づき、内閣官房に設置されている
ひ
PSIRT
組織が提供する製品の脆弱性に起因するリスクに対応するための組織内機能。自社
製品の脆弱性への対応、製品のセキュリティ品質管理・向上を目的とした組織
JPCERT https://www.jpcert.or.jp/research/psirtSF.html
(一般社団法人コンピュータソフトウェア協会、JPCERT/CC)
脆弱性対処に向けた製品開発者向けガイド(IPA)
https://www.ipa.go.jp/files/000085024.pdf
PSIRT Services Framework 1.0 日本語版
https://www.first.org/standards/frameworks/psirts/FIRST_PSIRT_Services_Fra
mework_v1.0_jp.pdf
(製造販売業者向け手引
書より)
れ
レガシー医療機器
現在のサイバーセキュリティの脅威に対してアップデート又は補完的対策等の合
理的な手段で保護できない医療機器で、販売開始以降の年数にかかわらない。
IMDRF ガイダンス和訳
より、一部修正(製造販
売業者向け手引書より)
せ
17
19 / 22