よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
整を実施する協調的な脆弱性の開示(CVD:Coordinated Vulnerability Disclosure)のプロセスを確立し、
例外なく実施する。未知の脆弱性を考慮することは難しいので、透明性を強化するこの CVD の取組みは
重要である。積極的な CVD に関連して、製造販売業者は次を実施する。
サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキュリティの情
報源の監視
協調的な脆弱性開示のポリシー及びプラクティスの採用(ISO/IEC 29147:2018 情報技術- セキ
ュリティ手法- 脆弱性の開示)
これには脆弱性報告の受領確認を脆弱性発見者に対して指定された期間内に通知することを含む。
脆弱性の検出及び処理のためのプロセス確立及び伝達(ISO/IEC 30111:2019 情報技術- セキュ
リティ手法- 脆弱性の処理プロセス)
このプロセスは、セキュリティ研究者、医療機関等、脆弱性報告の発生源に拘わらず、明確性且
つ一貫性及び再現性が求められる。
CVSS 等 の 確立 した セキ ュ リテ ィの 方法 論及び 臨 床的 なリ スク アセス メ ント 手法 ( JIS T
14971:2020 等)に従って行う、報告された脆弱性の評価
修正策の実施
修正策が可能でない場合、適切な脆弱性の緩和策又は補完的対策の実施。修正策、緩和策につい
ては、展開失敗時の報告方法及び変更のロールバック(初期化)方法を確立する。
脆弱性の開示予定に関する行政機関との情報共有(行政機関からの要求に基づく連携)
ステークホルダーに対しての、脆弱性情報(適用範囲、影響、製造販売業者の現時点の理解に基
づくリスクアセスメントを含む)の提供、並びに脆弱性の緩和策又は補完的対策に関する情報の
提供
状況の変化に応じた、関係するステークホルダーに対する適切な最新情報の提供
6.4.
脆弱性の修正
脆弱性の修正に関連する対応は、患者へのリスクを低減するために必要である。製造販売業者は、販売
業者・貸与業者及び修理業者と協力し、医療機関と連携して、遅滞のない修正によって安全確保を行う。
修正には、患者への通知を含む広範な対応が含まれる。サイバーセキュリティ対応には緊急性を伴う場合
もあるが、製造販売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての
機能の追加・変更がない場合は、都度の薬事承認を受ける必要はないことから、医療現場において、緊急
性を伴うサイバーセキュリティ対応を迅速に進めることが可能である。また、不具合修正を行うために必
要なプログラム及びファイル等の提供形態は、薬事承認の内容に記載する必要はないと明確化されてい
る。
注記
アップデート等に係る一部変更申請等の取り扱いについては、
「医療機器プログラムの取扱い
に関する Q&A について(その 2)
」
(平成 27 年 9 月 30 日付け厚生労働省医薬食品局医療機器・
再生医療等製品担当参事官室・監視指導・麻薬対策課事務連絡)の Q20、
「医療機器プログラ
12
添
整を実施する協調的な脆弱性の開示(CVD:Coordinated Vulnerability Disclosure)のプロセスを確立し、
例外なく実施する。未知の脆弱性を考慮することは難しいので、透明性を強化するこの CVD の取組みは
重要である。積極的な CVD に関連して、製造販売業者は次を実施する。
サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキュリティの情
報源の監視
協調的な脆弱性開示のポリシー及びプラクティスの採用(ISO/IEC 29147:2018 情報技術- セキ
ュリティ手法- 脆弱性の開示)
これには脆弱性報告の受領確認を脆弱性発見者に対して指定された期間内に通知することを含む。
脆弱性の検出及び処理のためのプロセス確立及び伝達(ISO/IEC 30111:2019 情報技術- セキュ
リティ手法- 脆弱性の処理プロセス)
このプロセスは、セキュリティ研究者、医療機関等、脆弱性報告の発生源に拘わらず、明確性且
つ一貫性及び再現性が求められる。
CVSS 等 の 確立 した セキ ュ リテ ィの 方法 論及び 臨 床的 なリ スク アセス メ ント 手法 ( JIS T
14971:2020 等)に従って行う、報告された脆弱性の評価
修正策の実施
修正策が可能でない場合、適切な脆弱性の緩和策又は補完的対策の実施。修正策、緩和策につい
ては、展開失敗時の報告方法及び変更のロールバック(初期化)方法を確立する。
脆弱性の開示予定に関する行政機関との情報共有(行政機関からの要求に基づく連携)
ステークホルダーに対しての、脆弱性情報(適用範囲、影響、製造販売業者の現時点の理解に基
づくリスクアセスメントを含む)の提供、並びに脆弱性の緩和策又は補完的対策に関する情報の
提供
状況の変化に応じた、関係するステークホルダーに対する適切な最新情報の提供
6.4.
脆弱性の修正
脆弱性の修正に関連する対応は、患者へのリスクを低減するために必要である。製造販売業者は、販売
業者・貸与業者及び修理業者と協力し、医療機関と連携して、遅滞のない修正によって安全確保を行う。
修正には、患者への通知を含む広範な対応が含まれる。サイバーセキュリティ対応には緊急性を伴う場合
もあるが、製造販売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての
機能の追加・変更がない場合は、都度の薬事承認を受ける必要はないことから、医療現場において、緊急
性を伴うサイバーセキュリティ対応を迅速に進めることが可能である。また、不具合修正を行うために必
要なプログラム及びファイル等の提供形態は、薬事承認の内容に記載する必要はないと明確化されてい
る。
注記
アップデート等に係る一部変更申請等の取り扱いについては、
「医療機器プログラムの取扱い
に関する Q&A について(その 2)
」
(平成 27 年 9 月 30 日付け厚生労働省医薬食品局医療機器・
再生医療等製品担当参事官室・監視指導・麻薬対策課事務連絡)の Q20、
「医療機器プログラ
12