よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (17 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
添
6.6.2. TPLC における考慮事項
6.6.2.1 設計・開発期間
製造販売業者は、TPLC に関するリスクマネジメント原則(5.2)に従って、サードパーティ製ソフトウ
ェアの提供業者の倒産や買収による突然のサポート停止等を含め、脆弱性発生によるリスクがあること
を理解した上で、医療機器製品の品質、有効性及び安全性が確保されるよう、製造販売業者の責任によっ
て必要な対策を設計段階で講じる必要がある。サードパーティ製の開発ツールを含むサードパーティ製
ソフトウェア部品のライフサイクルは、医療機器製品のライフサイクルに比べ短く、合致していることは
少ない。このため、製造販売業者は、サードパーティ製ソフトウェア部品について、世代を超えた管理又
は代替を予め計画することも必要となる。
製造販売業者は、既知の脆弱性に対する最新のアップデートを導入し、脆弱性検査・診断ツール等を利
用して定量的に対応度合いを把握・記録する。また市販後に合理的手段によってアップデートを導入でき
るユーザビリティが考慮された手段を機能として組み込むこと。
製造販売業者は、医療機器がレガシー状態になった場合を想定して、適用可能なファイアウォール等の
補完的対策の仕様及び利用可能性等について予め検討しておくこと。
6.6.2.2 サポート期間
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品
に直接関係しない脆弱性についても、一般的に緊急性が高い(例えば、CVSS のベース基準値が 9.0 を上
回る)等深刻度が高いことが公開されている脆弱性については、製品セキュリティポリシーに従って、当
該製品が関係しないことを示すために、セキュリティアドバイザリー情報を顧客に提供する。情報提供を
行わない場合は、その理由を含め記録を残し、顧客から提供を求められた場合に応じることができるよう
準備する。
製造販売業者は、サードパーティ製ソフトウェア部品の世代交代又は代替が計画されている場合は、十
分な評価を実施し、相互干渉等が発生しないことを確認した上で導入を行う。
製造販売業者は、製品が EOL を迎えるまでの期間、一般的な不具合修正だけでなく、セキュリティア
ップデートを含め、計画的に予見可能な課題に対応する。
6.6.2.3 限定的サポート期間
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品
に直接関係しない脆弱性についても、一般的に緊急性が高い等深刻度が高いことが公開されている脆弱
15
添
6.6.2. TPLC における考慮事項
6.6.2.1 設計・開発期間
製造販売業者は、TPLC に関するリスクマネジメント原則(5.2)に従って、サードパーティ製ソフトウ
ェアの提供業者の倒産や買収による突然のサポート停止等を含め、脆弱性発生によるリスクがあること
を理解した上で、医療機器製品の品質、有効性及び安全性が確保されるよう、製造販売業者の責任によっ
て必要な対策を設計段階で講じる必要がある。サードパーティ製の開発ツールを含むサードパーティ製
ソフトウェア部品のライフサイクルは、医療機器製品のライフサイクルに比べ短く、合致していることは
少ない。このため、製造販売業者は、サードパーティ製ソフトウェア部品について、世代を超えた管理又
は代替を予め計画することも必要となる。
製造販売業者は、既知の脆弱性に対する最新のアップデートを導入し、脆弱性検査・診断ツール等を利
用して定量的に対応度合いを把握・記録する。また市販後に合理的手段によってアップデートを導入でき
るユーザビリティが考慮された手段を機能として組み込むこと。
製造販売業者は、医療機器がレガシー状態になった場合を想定して、適用可能なファイアウォール等の
補完的対策の仕様及び利用可能性等について予め検討しておくこと。
6.6.2.2 サポート期間
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品
に直接関係しない脆弱性についても、一般的に緊急性が高い(例えば、CVSS のベース基準値が 9.0 を上
回る)等深刻度が高いことが公開されている脆弱性については、製品セキュリティポリシーに従って、当
該製品が関係しないことを示すために、セキュリティアドバイザリー情報を顧客に提供する。情報提供を
行わない場合は、その理由を含め記録を残し、顧客から提供を求められた場合に応じることができるよう
準備する。
製造販売業者は、サードパーティ製ソフトウェア部品の世代交代又は代替が計画されている場合は、十
分な評価を実施し、相互干渉等が発生しないことを確認した上で導入を行う。
製造販売業者は、製品が EOL を迎えるまでの期間、一般的な不具合修正だけでなく、セキュリティア
ップデートを含め、計画的に予見可能な課題に対応する。
6.6.2.3 限定的サポート期間
製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティ
ポリシーによって対応する必要がある脆弱性については、6.4 に従ってセキュリティアップデートを準備
する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品
に直接関係しない脆弱性についても、一般的に緊急性が高い等深刻度が高いことが公開されている脆弱
15