よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
ムの一部変更に伴う軽微変更手続き等の取扱いについて」(平成 29 年 10 月 20 日付け薬生機
審発 1020 第 1 号・厚生労働省医薬・生活衛生局医療機器審査管理課長通知)を参照。
なお、これらの迅速な対応については、医療機器プログラムだけでなく医療機器においても参
考にすることができる。「医療機関を標的としたランサムウェアによるサイバー攻撃について
(注意喚起)
」
(令和 3 年 6 月 28 日付け厚生労働省政策統括官付サイバーセキュリティ担当参
事官室・医政局研究開発振興課医療情報技術推進室・医薬・生活衛生局医療機器審査管理課・
医薬安全対策課事務連絡)も参照。
脆弱性の監視対象の多くを占めるサードパーティ製ソフトウェアコンポーネントの扱いに関しては、
JIS T 2304:2017(医療機器ソフトウェアのライフサイクルプロセス)にリスクマネジメント、構成管理
等に関する詳細な要求事項があり、これに基づき SBOM の構築及び市販後のアップデートなどを考慮す
るとよい。さらに、在宅医療機器等、実際の使用環境が医療機関の施設内ではないことが容易に想定され
る医療機器については、アップデートの適用方法等に特別な配慮が必要となる。
なお、サードパーティ製ソフトウェアコンポーネントの影響を評価した上で、製品としての影響がない
と評価された場合は、アップデートに代えてその旨の情報を提供することも重要な活動である。
6.5.
インシデントへの対応
製造販売業者は、市販後のセキュリティ対応として、次を実施する。
インシデントに対する緊急対応
予防的計画的な活動となるセキュリティ点検
インシデントとしての行政機関への報告
ISAO 等への情報共有を含むコミュニケーション
規制当局等への不具合等の報告(ただし、脆弱性及びセキュリティに関連する不具合の分析・評
価の結果が、情報漏洩に関わる場合又は患者安全に関わる場合)
なお、これらを継続的に実施していくためには、製品セキュリティに特化した組織横断体制である
PSIRT を構築し、対応することが望ましい。製造販売業者の企業活動に関するサイバーセキュリティの
ための CSIRT(Computer Security Incident Response Team)活動も重要であるが、IMDRF ガイダンス
の適用範囲から除外されており、目的も異なるので留意し、適切に対応されたい。
6.6.
レガシー医療機器
6.6.1. TPLC とレガシー状態
製品開発から始まる製品のサイバーセキュリティの TPLC を図 2 に示す。製造販売業者は、販売開始
(商用リリース)に対する、製品寿命終了(EOL)及びサポート終了(EOS)について、設計開発の段階
において TPLC に関するリスクマネジメント原則(5.2)に基づき、予め計画し定める。EOL については、
13
添
ムの一部変更に伴う軽微変更手続き等の取扱いについて」(平成 29 年 10 月 20 日付け薬生機
審発 1020 第 1 号・厚生労働省医薬・生活衛生局医療機器審査管理課長通知)を参照。
なお、これらの迅速な対応については、医療機器プログラムだけでなく医療機器においても参
考にすることができる。「医療機関を標的としたランサムウェアによるサイバー攻撃について
(注意喚起)
」
(令和 3 年 6 月 28 日付け厚生労働省政策統括官付サイバーセキュリティ担当参
事官室・医政局研究開発振興課医療情報技術推進室・医薬・生活衛生局医療機器審査管理課・
医薬安全対策課事務連絡)も参照。
脆弱性の監視対象の多くを占めるサードパーティ製ソフトウェアコンポーネントの扱いに関しては、
JIS T 2304:2017(医療機器ソフトウェアのライフサイクルプロセス)にリスクマネジメント、構成管理
等に関する詳細な要求事項があり、これに基づき SBOM の構築及び市販後のアップデートなどを考慮す
るとよい。さらに、在宅医療機器等、実際の使用環境が医療機関の施設内ではないことが容易に想定され
る医療機器については、アップデートの適用方法等に特別な配慮が必要となる。
なお、サードパーティ製ソフトウェアコンポーネントの影響を評価した上で、製品としての影響がない
と評価された場合は、アップデートに代えてその旨の情報を提供することも重要な活動である。
6.5.
インシデントへの対応
製造販売業者は、市販後のセキュリティ対応として、次を実施する。
インシデントに対する緊急対応
予防的計画的な活動となるセキュリティ点検
インシデントとしての行政機関への報告
ISAO 等への情報共有を含むコミュニケーション
規制当局等への不具合等の報告(ただし、脆弱性及びセキュリティに関連する不具合の分析・評
価の結果が、情報漏洩に関わる場合又は患者安全に関わる場合)
なお、これらを継続的に実施していくためには、製品セキュリティに特化した組織横断体制である
PSIRT を構築し、対応することが望ましい。製造販売業者の企業活動に関するサイバーセキュリティの
ための CSIRT(Computer Security Incident Response Team)活動も重要であるが、IMDRF ガイダンス
の適用範囲から除外されており、目的も異なるので留意し、適切に対応されたい。
6.6.
レガシー医療機器
6.6.1. TPLC とレガシー状態
製品開発から始まる製品のサイバーセキュリティの TPLC を図 2 に示す。製造販売業者は、販売開始
(商用リリース)に対する、製品寿命終了(EOL)及びサポート終了(EOS)について、設計開発の段階
において TPLC に関するリスクマネジメント原則(5.2)に基づき、予め計画し定める。EOL については、
13