よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
ラの要求事項に関するユーザーへの具体的なガイダンス
セキュアな設定を用いた機器の強化あるいは強化可能性に関する説明(セキュアな設定には、マル
ウェア対策、ファイアウォール/ファイアウォールルール、ホワイトリスト、セキュリティイベン
トパラメーター、ロギングパラメーター、物理的セキュリティ検出等のエンドポイント保護が含ま
れる。
)
必要に応じて、セキュアなネットワーク接続の展開及びサービスを可能にするための技術的指示
サイバーセキュリティ脆弱性又はインシデントが検知された際の対応方法に関するユーザーへの
指示
医療機器に係るセキュリティ事象が検出された場合に、医療機器又は支援システムがユーザーに
異常を通知する方法に関する説明。なお、セキュリティ事象の種類としては、設定変更、ネットワ
ーク異常、ログイン試行、未知のエンティティに対する要求送信等の異常トラフィックが挙げられ
る。
必要に応じて、認証された特権ユーザーが、医療機器の設定を保存し、回復するための方法の説明
許可されたユーザーが、製造販売業からアップデートをダウンロードしてインストールするため
の体系的な手順の説明
医療機器のサポート終了に関する情報(6.6「レガシー医療機器」参照)
医療機器製品に実装されているオープンソース及び市販のソフトウェア部品(製品コンポーネン
ト)の透明性を確保するための SBOM
なお、SBOM は、患者を含む医療機器のユーザーが、その資産を効果的に管理し、医療機器及び
接続されるシステムに対して識別された脆弱性の潜在的影響を理解し、医療機器の安全性及び性
能を維持するための対応を可能にするものとして位置づけられる。
医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能な、製造販
売業者による医療機器セキュリティ開示書(Manufacturer Disclosure Statement for Medical
Device Security:以下 MDS2 という。
)
注記 SBOM 及び MDS2 は、医療機器のセキュリティ設計及びリスクマネジメント計画を踏まえた
TPLC に関する網羅的な顧客向け文書となる。SBOM 及び MDS2 は、製品導入の検討にあたっ
て開示を求められる場合もある。
製造販売業者は、医療機器のリスクマネジメントのインプットとして、意図する使用環境だけでなく、
合理的に予見可能な実使用環境を考慮した上で、患者やユーザーのフィードバックを反映させながら、医
療機器製品の注意事項等情報、取扱説明書及び顧客向けセキュリティ文書を更新し、拡充する。さらに、
在宅医療機器等、患者自身が操作することを意図している医療機器については、通常の使用方法に加え
て、基本的なサイバーセキュリティに関するトレーニングを患者に対しても行うことが求められるので、
製造販売業者は、これを支援できるレベルの情報提供が必要となる。
9
添
ラの要求事項に関するユーザーへの具体的なガイダンス
セキュアな設定を用いた機器の強化あるいは強化可能性に関する説明(セキュアな設定には、マル
ウェア対策、ファイアウォール/ファイアウォールルール、ホワイトリスト、セキュリティイベン
トパラメーター、ロギングパラメーター、物理的セキュリティ検出等のエンドポイント保護が含ま
れる。
)
必要に応じて、セキュアなネットワーク接続の展開及びサービスを可能にするための技術的指示
サイバーセキュリティ脆弱性又はインシデントが検知された際の対応方法に関するユーザーへの
指示
医療機器に係るセキュリティ事象が検出された場合に、医療機器又は支援システムがユーザーに
異常を通知する方法に関する説明。なお、セキュリティ事象の種類としては、設定変更、ネットワ
ーク異常、ログイン試行、未知のエンティティに対する要求送信等の異常トラフィックが挙げられ
る。
必要に応じて、認証された特権ユーザーが、医療機器の設定を保存し、回復するための方法の説明
許可されたユーザーが、製造販売業からアップデートをダウンロードしてインストールするため
の体系的な手順の説明
医療機器のサポート終了に関する情報(6.6「レガシー医療機器」参照)
医療機器製品に実装されているオープンソース及び市販のソフトウェア部品(製品コンポーネン
ト)の透明性を確保するための SBOM
なお、SBOM は、患者を含む医療機器のユーザーが、その資産を効果的に管理し、医療機器及び
接続されるシステムに対して識別された脆弱性の潜在的影響を理解し、医療機器の安全性及び性
能を維持するための対応を可能にするものとして位置づけられる。
医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能な、製造販
売業者による医療機器セキュリティ開示書(Manufacturer Disclosure Statement for Medical
Device Security:以下 MDS2 という。
)
注記 SBOM 及び MDS2 は、医療機器のセキュリティ設計及びリスクマネジメント計画を踏まえた
TPLC に関する網羅的な顧客向け文書となる。SBOM 及び MDS2 は、製品導入の検討にあたっ
て開示を求められる場合もある。
製造販売業者は、医療機器のリスクマネジメントのインプットとして、意図する使用環境だけでなく、
合理的に予見可能な実使用環境を考慮した上で、患者やユーザーのフィードバックを反映させながら、医
療機器製品の注意事項等情報、取扱説明書及び顧客向けセキュリティ文書を更新し、拡充する。さらに、
在宅医療機器等、患者自身が操作することを意図している医療機器については、通常の使用方法に加え
て、基本的なサイバーセキュリティに関するトレーニングを患者に対しても行うことが求められるので、
製造販売業者は、これを支援できるレベルの情報提供が必要となる。
9