よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (8 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
形成を十分に行うべき点に留意が必要です。
なお、サイバー攻撃による情報セキュリティへの侵害が、医療機器の医療安全の侵害につな
がることがあることにも考慮する必要があります。
3.サイバーセキュリティ対策について
3.1 サイバーセキュリティ対策の基本
医療法等で求められているように、医療に関わる全ての行為は医療機関等の管理者の責任で
行うことになりますので、医療機器の医療安全の確保のためのサイバーセキュリティ対策に
ついても医療機関の責任で行います。医療機器の導入、管理、保守サービスなどについて、
医療機器事業者やサービス事業者等に委託することは出来ますが、医療機関の責任の下で行
うものであり、それに関する契約(役割等)を明確にしておくことが必要となります。
3.2 ステークホルダーとの連携
医療機器事業者は、薬機法に従ってサイバーセキュリティ対応を含めた医療機器の市販前、
市販後の対応を行います。
医療機関においては、サイバーセキュリティ対応を行う医療機器事業者等と連携した取り組
みを行うことが必要です。医療機関に医療機器を導入する際、及びこれを運用・管理する際
には、医療機器事業者はもちろん、医療情報システムや医療機器の導入やメンテナンス等を
担うサービス提供者との連携を図ることが重要です。一方で、医療機器事業者やサービス事
業者は医療機関の要請に対して対応できるよう組織的な準備をすることになります。この連
携を進めるためには、医療機関における医療機器のネットワークへの接続状況を可視化し関
係者と共有出来るようにするためのネットワーク構成図等(後述)を整備することも有用で
す。
3.3 製品ライフサイクル全体(TPLC)とリスクマネジメント
医療機関が医療機器を導入した後も、サイバー攻撃は年々高度化し、リスクが新たに発生又
は明らかになります。また医療機器事業者からは EOL(製品寿命終了)/EOS(サポート終
了)などに関して、医療機器の製品寿命及びサポート条件に関する情報も提供されます。提
示された EOS 以降も使用を継続することによって発生し得るリスクは、医療機関が引き受け
てマネジメントしていくことになります。
医療機関は、医療機器の導入時に必要な情報を収集し、想定されるリスクを評価し、受容可
能なレベルまで低減するというリスクマネジメントを行うとともに、医療機器を導入した後
も、医療機器の使用を終了するまでの製品ライフサイクル全体(TPLC)にわたり、関連す
る情報を逐次収集し、脅威の増加に伴うリスクを評価し、対策を検討し、リスクが受容され
るまで低減できるかを評価したうえで、適切な対策を追加するといったリスクマネジメント
の PDCA を継続して実施することが必要です。
このようなリスクマネジメントは医療機関、医療機器事業者、サービス提供者、その他ステ
ークホルダーのそれぞれで実施するとともに、互いに連携して実施することが必要です。
6
8 / 22
なお、サイバー攻撃による情報セキュリティへの侵害が、医療機器の医療安全の侵害につな
がることがあることにも考慮する必要があります。
3.サイバーセキュリティ対策について
3.1 サイバーセキュリティ対策の基本
医療法等で求められているように、医療に関わる全ての行為は医療機関等の管理者の責任で
行うことになりますので、医療機器の医療安全の確保のためのサイバーセキュリティ対策に
ついても医療機関の責任で行います。医療機器の導入、管理、保守サービスなどについて、
医療機器事業者やサービス事業者等に委託することは出来ますが、医療機関の責任の下で行
うものであり、それに関する契約(役割等)を明確にしておくことが必要となります。
3.2 ステークホルダーとの連携
医療機器事業者は、薬機法に従ってサイバーセキュリティ対応を含めた医療機器の市販前、
市販後の対応を行います。
医療機関においては、サイバーセキュリティ対応を行う医療機器事業者等と連携した取り組
みを行うことが必要です。医療機関に医療機器を導入する際、及びこれを運用・管理する際
には、医療機器事業者はもちろん、医療情報システムや医療機器の導入やメンテナンス等を
担うサービス提供者との連携を図ることが重要です。一方で、医療機器事業者やサービス事
業者は医療機関の要請に対して対応できるよう組織的な準備をすることになります。この連
携を進めるためには、医療機関における医療機器のネットワークへの接続状況を可視化し関
係者と共有出来るようにするためのネットワーク構成図等(後述)を整備することも有用で
す。
3.3 製品ライフサイクル全体(TPLC)とリスクマネジメント
医療機関が医療機器を導入した後も、サイバー攻撃は年々高度化し、リスクが新たに発生又
は明らかになります。また医療機器事業者からは EOL(製品寿命終了)/EOS(サポート終
了)などに関して、医療機器の製品寿命及びサポート条件に関する情報も提供されます。提
示された EOS 以降も使用を継続することによって発生し得るリスクは、医療機関が引き受け
てマネジメントしていくことになります。
医療機関は、医療機器の導入時に必要な情報を収集し、想定されるリスクを評価し、受容可
能なレベルまで低減するというリスクマネジメントを行うとともに、医療機器を導入した後
も、医療機器の使用を終了するまでの製品ライフサイクル全体(TPLC)にわたり、関連す
る情報を逐次収集し、脅威の増加に伴うリスクを評価し、対策を検討し、リスクが受容され
るまで低減できるかを評価したうえで、適切な対策を追加するといったリスクマネジメント
の PDCA を継続して実施することが必要です。
このようなリスクマネジメントは医療機関、医療機器事業者、サービス提供者、その他ステ
ークホルダーのそれぞれで実施するとともに、互いに連携して実施することが必要です。
6
8 / 22