よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (30 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
1.0 はじめに
無線、インターネット及びネットワーク接続機器の使用の増加に伴い、医療機器の機能
及び安全性を確保するために有効なサイバーセキュリティの重要性が増している。サイ
バーセキュリティのインシデントは、医療機器及び病院ネットワークを使用不能にする
と共に、ヘルスケア施設における患者ケアの提供を中断させてきた経緯がある。これら
のインシデントは、診断及び治療介入の遅延、誤診断又は不適切な治療介入等の発生に
より、患者危害に至る可能性がある。
ヘルスケア製品の製造業者、ヘルスケアプロバイダ、ユーザ、並びに規制当局及び脆弱
性報告者を含む全ての関係者は、医療機器のサイバーセキュリティに関して共同責任を
有する。本ガイダンスは、全関係者へ向けて、サイバーセキュリティを積極的に支援す
るための役割に関する理解を促し、将来起こり得るサイバー攻撃、問題又は事象を予測
して、医療機器を保護してセキュアにするための情報を提供することを意図している。
ヘルスケアのサイバーセキュリティの原則及び実践に関する国際整合は、患者安全及び
医療機器の性能を確実に維持するために必要である。しかし、現時点における医療機器
のサイバーセキュリティに係る規制は国毎に異なっており、国際整合に至っていない。
本 IMDRF ガイダンスは、医療機器のサイバーセキュリティに関する国際整合を図るた
めの一般原則とベストプラクティスを提供することを目的とする。本文書では、適用範
囲及び用語をそれぞれ 2 項及び 3 項において定義する。4 項では、医療機器のサイバー
セキュリティの一般原則について概説し、5 項及び 6 項では、医療機器のサイバーセキ
ュリティに関する市販前管理及び市販後管理におけるベストプラクティスについて多く
の推奨事項を責任関係者に提供する。市販前管理については、主に医療機器製造業者に
言及する。市販後管理については、全ての責任関係者に向けた推奨事項を記載する。
本文書は、IMDRF が作成した医療機器のサイバーセキュリティに特化した最初のガイ
ダンスであるが、セキュリティについて幅広く検討する上で参照すべき IMDRF 文書と
して「IMDRF/GRRP WG/N47 FINAL: 2018」が挙げられる。当該文書は、医療機器及び
体外診断用(In Vitro Diagnostic:IVD)医療機器1の設計及び製造において充足すべき基
本要件基準を提供している。これらの基本要件基準は、医療機器の全ライフサイクル
(Total Product Life Cycle:TPLC)に渡って、本ガイダンスと共に参照することが望ま
しい。その他の関連文書である「IMDRF/SaMD WG/N12 FINAL: 2014」の 9.3 項では、
安全を考慮する際の情報セキュリティの重要性について記載されており、医療機器ソフ
トウェア(Software as Medical Device:SaMD)の情報セキュリティに影響する幾つかの
要因がまとめられている。
1
N47 の 5.8 項には、不正アクセスからの保護等、情報セキュリティ及びサイバーセキュリティの重要な
要求事項が記載されており、医療機器の全ライフサイクルに渡って、本ガイダンスと共に参照すること
が望ましい。
2020/3/18
Page 5 of 51
7/53 ページ
1.0 はじめに
無線、インターネット及びネットワーク接続機器の使用の増加に伴い、医療機器の機能
及び安全性を確保するために有効なサイバーセキュリティの重要性が増している。サイ
バーセキュリティのインシデントは、医療機器及び病院ネットワークを使用不能にする
と共に、ヘルスケア施設における患者ケアの提供を中断させてきた経緯がある。これら
のインシデントは、診断及び治療介入の遅延、誤診断又は不適切な治療介入等の発生に
より、患者危害に至る可能性がある。
ヘルスケア製品の製造業者、ヘルスケアプロバイダ、ユーザ、並びに規制当局及び脆弱
性報告者を含む全ての関係者は、医療機器のサイバーセキュリティに関して共同責任を
有する。本ガイダンスは、全関係者へ向けて、サイバーセキュリティを積極的に支援す
るための役割に関する理解を促し、将来起こり得るサイバー攻撃、問題又は事象を予測
して、医療機器を保護してセキュアにするための情報を提供することを意図している。
ヘルスケアのサイバーセキュリティの原則及び実践に関する国際整合は、患者安全及び
医療機器の性能を確実に維持するために必要である。しかし、現時点における医療機器
のサイバーセキュリティに係る規制は国毎に異なっており、国際整合に至っていない。
本 IMDRF ガイダンスは、医療機器のサイバーセキュリティに関する国際整合を図るた
めの一般原則とベストプラクティスを提供することを目的とする。本文書では、適用範
囲及び用語をそれぞれ 2 項及び 3 項において定義する。4 項では、医療機器のサイバー
セキュリティの一般原則について概説し、5 項及び 6 項では、医療機器のサイバーセキ
ュリティに関する市販前管理及び市販後管理におけるベストプラクティスについて多く
の推奨事項を責任関係者に提供する。市販前管理については、主に医療機器製造業者に
言及する。市販後管理については、全ての責任関係者に向けた推奨事項を記載する。
本文書は、IMDRF が作成した医療機器のサイバーセキュリティに特化した最初のガイ
ダンスであるが、セキュリティについて幅広く検討する上で参照すべき IMDRF 文書と
して「IMDRF/GRRP WG/N47 FINAL: 2018」が挙げられる。当該文書は、医療機器及び
体外診断用(In Vitro Diagnostic:IVD)医療機器1の設計及び製造において充足すべき基
本要件基準を提供している。これらの基本要件基準は、医療機器の全ライフサイクル
(Total Product Life Cycle:TPLC)に渡って、本ガイダンスと共に参照することが望ま
しい。その他の関連文書である「IMDRF/SaMD WG/N12 FINAL: 2014」の 9.3 項では、
安全を考慮する際の情報セキュリティの重要性について記載されており、医療機器ソフ
トウェア(Software as Medical Device:SaMD)の情報セキュリティに影響する幾つかの
要因がまとめられている。
1
N47 の 5.8 項には、不正アクセスからの保護等、情報セキュリティ及びサイバーセキュリティの重要な
要求事項が記載されており、医療機器の全ライフサイクルに渡って、本ガイダンスと共に参照すること
が望ましい。
2020/3/18
Page 5 of 51
7/53 ページ