よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
とともに、それを医療機関へ提供する。
一方、我が国で発生したインシデントなどであっても、その医療機器が稼働している可能性がある国・
地域の必要な全関係者に対して、各国・地域の規制に応じた情報共有が必要となる場合があることに留意
が必要である。例を挙げるとすれば、公開された脆弱性に対する、影響を受ける製品及び影響の内容、ア
ップデートやその他の緩和策の利用可能性又は計画などを記述したセキュリティアドバイザリー(セキ
ュリティ報告)等がある。製造販売業者がホームページに掲載したり、場合によっては直接顧客に届けた
りする場合もあるかもしれない。緊急性が高い場合など、より国際的に一貫性のある情報を可能な限り同
時に情報共有していくためには、規制当局や ISAO/CERT と連携して情報の発出に積極的に協力する。ま
た、サイバーセキュリティの特性から適切な情報更新が必要である。
情報共有のコミュニケーションは、共有された情報が商業的な優位性を得るために使用されるべきで
はないことを理解して、必要に応じて書面による合意をもって設定することが望ましい。情報共有を促進
する方法の一つとして、共有される情報の匿名化を考慮する。
患者危害を防ぐために医療機器の製造販売業者がユーザー等との間で共有すべき情報としては、次の
事項が挙げられる。
脆弱性の影響を受ける製品及びその影響の内容
当該製品で使用していない又は直接影響を受けないが、当該製品以外の医療機器又は医療機関の
ヘルス IT ネットワークシステムにおいて、ネットワーク接続を通して、当該製品に影響を及ぼす
可能性がある製品のコンポーネントの脆弱性情報
医療機器のセキュリティに影響し得る IT 機器の情報
攻撃又は潜在的な攻撃に関する情報及び悪用コードの利用可能性に関する情報
インシデントの確認
パッチ及びその他の緩和策(補完的対策等)の利用可能性
暫定処置としての医療機器の使用と結合に関する追加指示
製造販売業者がユーザー等へ共有する情報には、修正策がすぐに利用できない場合等、必要に応じて脅
威の緩和策及び方法も含める。例えば、医療機器に影響する脆弱性を緩和するための IT 機器の構成、既
知の悪用に対応する方法等を含める。
6.3.
協調的な脆弱性の開示(CVD)
製造販売業者が、自社の医療機器の脆弱性情報(CVE 等)、他社の医療機器にも関係する脆弱性情報や
セキュリティアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない状況で開
示すれば、即座にサイバー攻撃の標的になってしまうこともある。従って、脆弱性情報を開示するタイミ
ングは注意を要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでなく、場合によって
は分野を超えた連携が必要な場合がある。この場合、製造販売業者は、規制当局等と連携して、必要な調
11
添
とともに、それを医療機関へ提供する。
一方、我が国で発生したインシデントなどであっても、その医療機器が稼働している可能性がある国・
地域の必要な全関係者に対して、各国・地域の規制に応じた情報共有が必要となる場合があることに留意
が必要である。例を挙げるとすれば、公開された脆弱性に対する、影響を受ける製品及び影響の内容、ア
ップデートやその他の緩和策の利用可能性又は計画などを記述したセキュリティアドバイザリー(セキ
ュリティ報告)等がある。製造販売業者がホームページに掲載したり、場合によっては直接顧客に届けた
りする場合もあるかもしれない。緊急性が高い場合など、より国際的に一貫性のある情報を可能な限り同
時に情報共有していくためには、規制当局や ISAO/CERT と連携して情報の発出に積極的に協力する。ま
た、サイバーセキュリティの特性から適切な情報更新が必要である。
情報共有のコミュニケーションは、共有された情報が商業的な優位性を得るために使用されるべきで
はないことを理解して、必要に応じて書面による合意をもって設定することが望ましい。情報共有を促進
する方法の一つとして、共有される情報の匿名化を考慮する。
患者危害を防ぐために医療機器の製造販売業者がユーザー等との間で共有すべき情報としては、次の
事項が挙げられる。
脆弱性の影響を受ける製品及びその影響の内容
当該製品で使用していない又は直接影響を受けないが、当該製品以外の医療機器又は医療機関の
ヘルス IT ネットワークシステムにおいて、ネットワーク接続を通して、当該製品に影響を及ぼす
可能性がある製品のコンポーネントの脆弱性情報
医療機器のセキュリティに影響し得る IT 機器の情報
攻撃又は潜在的な攻撃に関する情報及び悪用コードの利用可能性に関する情報
インシデントの確認
パッチ及びその他の緩和策(補完的対策等)の利用可能性
暫定処置としての医療機器の使用と結合に関する追加指示
製造販売業者がユーザー等へ共有する情報には、修正策がすぐに利用できない場合等、必要に応じて脅
威の緩和策及び方法も含める。例えば、医療機器に影響する脆弱性を緩和するための IT 機器の構成、既
知の悪用に対応する方法等を含める。
6.3.
協調的な脆弱性の開示(CVD)
製造販売業者が、自社の医療機器の脆弱性情報(CVE 等)、他社の医療機器にも関係する脆弱性情報や
セキュリティアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない状況で開
示すれば、即座にサイバー攻撃の標的になってしまうこともある。従って、脆弱性情報を開示するタイミ
ングは注意を要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでなく、場合によって
は分野を超えた連携が必要な場合がある。この場合、製造販売業者は、規制当局等と連携して、必要な調
11