よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (21 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
方、本チェックリストは「医療情報システムの安全管理に関 するガイドライン」のみを遵
守しているかのチェックリストではなく、幅広くサイバーセキュリティ対策に特化した内
容 となっていることに留意されたい。
』となっており、IoT 機器を利用する場合の項目も含
まれている。
【参考 3】薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)
我が国においては、医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及
び安全性の確保等に関する法律(昭和 35 年法律第 145 号)に紐づく医薬品、医療機器等の
品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大
臣が定める医療機器の基準(平成 17 年 3 月 29 日付け厚生労働省告示第 122 号、以下「基
本要件基準」
)によってサイバーセキュリティを含むリスクマネジメントが求められ、使用
者に対する情報提供や注意喚起を含めて最新の技術に立脚して医療機器の安全を確保しな
くてはならないこととされている。
具体的には、「医療機器におけるサイバーセキュリティの確保について」(平成 27 年通知)
によって、サイバーセキュリティ上のリスクが懸念される医療機器のうち、無線又は有線
により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は
USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続
が可能な医療機器について、不正なアクセス等が想定されるため、製造販売業者は、サイ
バーセキュリティ上のリスクを含む危険性を評価・除去し、防護するリスクマネジメント
を行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととして
いる。また、必要なサイバーセキュリティの確保がなされていない医療機器については、
使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施
されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが
示されている。その後、医療機器のサイバーセキュリティに関する具体的な対策及び処置
の考え方について「医療機器のサイバーセキュリティの確保に関するガイダンス」
(平成 30
年通知)として取りまとめられた。さらに、このガイダンスを置き換えるものとして 2021
年 12 月に「医療機器のサイバーセキュリティ導入に関する手引書」が発出され、医療機器
へのサイバー攻撃に対する国際的な耐性基準等の技術要件を我が国へ導入して整備するこ
とが示されている。
医療機器の使用環境の特定、意図する使用環境におけるサイバーセキュリティ上のリスク
に対するリスクマネジメントの実施、必要な対策、その結果リスクが受容可能になること
の説明、サイバーセキュリティ上のリスクに伴う医療機器の不具合等についても GVP 省令
に基づき、GVP 省令における安全性情報として取り扱い、関係者と連携を図り、適切な市
販後の安全確保が求められている。
【参考 4】IMDRF ガイダンス(医療機器サイバーセキュリティガイダンス)
・発行:IMDRF(国際医療機器規制当局フォーラム)、2020 年 3 月 18 日
・原文URL:http://www.imdrf.org/documents/documents.asp
・ガイダンスの一般原則:
19
21 / 22
守しているかのチェックリストではなく、幅広くサイバーセキュリティ対策に特化した内
容 となっていることに留意されたい。
』となっており、IoT 機器を利用する場合の項目も含
まれている。
【参考 3】薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)
我が国においては、医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及
び安全性の確保等に関する法律(昭和 35 年法律第 145 号)に紐づく医薬品、医療機器等の
品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大
臣が定める医療機器の基準(平成 17 年 3 月 29 日付け厚生労働省告示第 122 号、以下「基
本要件基準」
)によってサイバーセキュリティを含むリスクマネジメントが求められ、使用
者に対する情報提供や注意喚起を含めて最新の技術に立脚して医療機器の安全を確保しな
くてはならないこととされている。
具体的には、「医療機器におけるサイバーセキュリティの確保について」(平成 27 年通知)
によって、サイバーセキュリティ上のリスクが懸念される医療機器のうち、無線又は有線
により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は
USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続
が可能な医療機器について、不正なアクセス等が想定されるため、製造販売業者は、サイ
バーセキュリティ上のリスクを含む危険性を評価・除去し、防護するリスクマネジメント
を行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととして
いる。また、必要なサイバーセキュリティの確保がなされていない医療機器については、
使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施
されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが
示されている。その後、医療機器のサイバーセキュリティに関する具体的な対策及び処置
の考え方について「医療機器のサイバーセキュリティの確保に関するガイダンス」
(平成 30
年通知)として取りまとめられた。さらに、このガイダンスを置き換えるものとして 2021
年 12 月に「医療機器のサイバーセキュリティ導入に関する手引書」が発出され、医療機器
へのサイバー攻撃に対する国際的な耐性基準等の技術要件を我が国へ導入して整備するこ
とが示されている。
医療機器の使用環境の特定、意図する使用環境におけるサイバーセキュリティ上のリスク
に対するリスクマネジメントの実施、必要な対策、その結果リスクが受容可能になること
の説明、サイバーセキュリティ上のリスクに伴う医療機器の不具合等についても GVP 省令
に基づき、GVP 省令における安全性情報として取り扱い、関係者と連携を図り、適切な市
販後の安全確保が求められている。
【参考 4】IMDRF ガイダンス(医療機器サイバーセキュリティガイダンス)
・発行:IMDRF(国際医療機器規制当局フォーラム)、2020 年 3 月 18 日
・原文URL:http://www.imdrf.org/documents/documents.asp
・ガイダンスの一般原則:
19
21 / 22