よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (20 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.1 製造販売業者によるサイバーセキュリティ対応
製造販売業者は、意図される使用環境におけるサイバーリスクに対するリスクマネジメン
トを実施し、必要な対策を行い、その結果リスクが受容可能になることを説明できるようにす
ること。リスクマネジメントを行うに当たっては、医療機器の意図される使用方法、使用者、使
用環境等を考慮したベースラインを定めて実施、検証することが望ましい。
特に、医療機器の開発・評価時に使用されるデータベースや、実使用時に利用される OS
等の既製品ソフトウェアについても、医療機器のライフサイクル(※2)を通じ考慮する必要が
ある。なお、これら既製品ソフトウェアを用いた医療機器のライフサイクルと搭載した当該既
製品ソフトウェアのライフサイクルについては、整合させることが望ましいが、困難である場
合には、その対応について検討を行い、必要に応じて使用者へ必要な情報を提供する(5項
参照)。
なお、製造販売業者は、供給する製品のサイバーセキュリティ対応に関する社内の方針・
体制を品質システム等の一部として確立することが求められる。また、サイバーセキュリティ
に関連する問合せ窓口及びサービスに係る取組について、使用者へ開示することが望まし
い。
(※2 ライフサイクルとは、開発から使用を終了し破棄されるまでが本来の期間ではあるが、これとは
別に医療機器の設計・製造時には耐用期間が特定されている。各医療機器の耐用期間について
は、通常、添付文書に「保管方法及び有効期間等」として記載されており、製造販売業者は、少な
くともこの期間は、当該医療機器についてサイバーセキュリティへの対応を行うことが必要となる。
また、既出荷製品について適切な脆弱性管理ができない場合、製造販売業者は、製品の扱いに
関する情報を使用者へ速やかかつ適切に伝えるとともに、使用者と連携して対応することも必要
となる。)
3.2 使用者によるサイバーセキュリティ対応
製造販売業者から出荷された医療機器は、販売業者・貸与業者を経て、医療機関等の使
用者に納入される。納入後の医療機器のサイバーセキュリティに関する日常の管理は、医
療機関等の使用者にて実施する必要があることから、製造販売業者は、必要に応じて医療
機関と連携を取り、保守契約等に基づきサイバーセキュリティの確保を支援することが重要
である。なお、医療機器から医療機関等の情報システムへ転送されたデータに関するサイ
バーリスクについては、システムの管理者である医療機関による対応が必要である。
サイバーリスクに伴う医療機器の不具合等の情報も、GVP省令における安全管理情報の
一つであるため、製造販売業者は、医療機関と連携を取り、こうした情報を収集する必要が
ある。
また、独立行政法人情報処理推進機構(IPA)セキュリティセンターでは、「コンピュータウ
6/9 ページ
製造販売業者は、意図される使用環境におけるサイバーリスクに対するリスクマネジメン
トを実施し、必要な対策を行い、その結果リスクが受容可能になることを説明できるようにす
ること。リスクマネジメントを行うに当たっては、医療機器の意図される使用方法、使用者、使
用環境等を考慮したベースラインを定めて実施、検証することが望ましい。
特に、医療機器の開発・評価時に使用されるデータベースや、実使用時に利用される OS
等の既製品ソフトウェアについても、医療機器のライフサイクル(※2)を通じ考慮する必要が
ある。なお、これら既製品ソフトウェアを用いた医療機器のライフサイクルと搭載した当該既
製品ソフトウェアのライフサイクルについては、整合させることが望ましいが、困難である場
合には、その対応について検討を行い、必要に応じて使用者へ必要な情報を提供する(5項
参照)。
なお、製造販売業者は、供給する製品のサイバーセキュリティ対応に関する社内の方針・
体制を品質システム等の一部として確立することが求められる。また、サイバーセキュリティ
に関連する問合せ窓口及びサービスに係る取組について、使用者へ開示することが望まし
い。
(※2 ライフサイクルとは、開発から使用を終了し破棄されるまでが本来の期間ではあるが、これとは
別に医療機器の設計・製造時には耐用期間が特定されている。各医療機器の耐用期間について
は、通常、添付文書に「保管方法及び有効期間等」として記載されており、製造販売業者は、少な
くともこの期間は、当該医療機器についてサイバーセキュリティへの対応を行うことが必要となる。
また、既出荷製品について適切な脆弱性管理ができない場合、製造販売業者は、製品の扱いに
関する情報を使用者へ速やかかつ適切に伝えるとともに、使用者と連携して対応することも必要
となる。)
3.2 使用者によるサイバーセキュリティ対応
製造販売業者から出荷された医療機器は、販売業者・貸与業者を経て、医療機関等の使
用者に納入される。納入後の医療機器のサイバーセキュリティに関する日常の管理は、医
療機関等の使用者にて実施する必要があることから、製造販売業者は、必要に応じて医療
機関と連携を取り、保守契約等に基づきサイバーセキュリティの確保を支援することが重要
である。なお、医療機器から医療機関等の情報システムへ転送されたデータに関するサイ
バーリスクについては、システムの管理者である医療機関による対応が必要である。
サイバーリスクに伴う医療機器の不具合等の情報も、GVP省令における安全管理情報の
一つであるため、製造販売業者は、医療機関と連携を取り、こうした情報を収集する必要が
ある。
また、独立行政法人情報処理推進機構(IPA)セキュリティセンターでは、「コンピュータウ
6/9 ページ