よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (31 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
2.0 適用範囲
本文書は、全ての責任関係者に向けて、医療機器(IVD 医療機器を含む)のサイバーセ
キュリティに対する一般原則に係る基本的考え方と検討事項、並びに推奨されるベスト
プラクティスを提供することを目的として作成された。本文書では、製造業者、ヘルス
ケアプロバイダ、規制当局及びユーザに向けて、意図する目的に対して医療機器を使用
する際に起こり得るサイバーセキュリティリスクを最小化することにより、医療機器の
安全性及び性能を維持し、継続使用を確保するための具体的な推奨事項を取りまとめて
いる。本ガイダンスで述べるヘルスケアプロバイダには、医療機関が含まれる。
本文書では、ファームウェア及びプログラマブルロジックコントローラ等のソフトウェ
アを有する医療機器(例:ペースメーカ、輸液ポンプ)、又はソフトウェア単独で存在
する医療機器(例:SaMD)に関するサイバーセキュリティについて概説されている。
ほとんどの規制当局は、その権限が医療機器の安全性及び性能に限定されているため、
本文書の適用範囲は、患者への危害が発生する可能性に関する検討に限定されているこ
とに留意する必要がある。例えば、医療機器の性能に影響を与える、臨床活動に悪影響
を及ぼす、若しくは誤った診断又は治療に繋がるサイバーセキュリティリスクは、本文
書の適用範囲とみなされる。データプライバシーの侵害等、その他の危害も重要である
が、本文書では適用範囲から除外する。さらに、本文書では、製造業者の企業活動に関
するサイバーセキュリティを適用範囲から除外する。製造業者の企業活動のセキュリテ
ィに関するベストプラクティスについては、米国国立標準技術研究所(National Institute
of Standard and Technology:NIST)のサイバーセキュリティフレームワークが情報源と
しての重要な役割を果たしている。
本文書は以下の事項を意図している。
医療機器の設計及び開発に適切なサイバーセキュリティ対応を組み込むために、リ
スクベースアプローチを採用する。
医療機器及び接続されるヘルスケアインフラの安全性、性能及びセキュリティを確
保する。
サイバーセキュリティは、製造業者、ヘルスケアプロバイダ、ユーザ、規制当局及
び脆弱性発見者等を含む全ての関係者の共同責任であることを認識する。
それらの関係者に対して、製品ライフサイクルの全体に渡り、患者危害のリスクを
最小化するために有益な推奨事項を提供する。
用語を定義すると共に、医療機器のサイバーセキュリティを確保するため、現時点
のベストプラクティスを記載する。
2020/3/18
Page 6 of 51
8/53 ページ
2.0 適用範囲
本文書は、全ての責任関係者に向けて、医療機器(IVD 医療機器を含む)のサイバーセ
キュリティに対する一般原則に係る基本的考え方と検討事項、並びに推奨されるベスト
プラクティスを提供することを目的として作成された。本文書では、製造業者、ヘルス
ケアプロバイダ、規制当局及びユーザに向けて、意図する目的に対して医療機器を使用
する際に起こり得るサイバーセキュリティリスクを最小化することにより、医療機器の
安全性及び性能を維持し、継続使用を確保するための具体的な推奨事項を取りまとめて
いる。本ガイダンスで述べるヘルスケアプロバイダには、医療機関が含まれる。
本文書では、ファームウェア及びプログラマブルロジックコントローラ等のソフトウェ
アを有する医療機器(例:ペースメーカ、輸液ポンプ)、又はソフトウェア単独で存在
する医療機器(例:SaMD)に関するサイバーセキュリティについて概説されている。
ほとんどの規制当局は、その権限が医療機器の安全性及び性能に限定されているため、
本文書の適用範囲は、患者への危害が発生する可能性に関する検討に限定されているこ
とに留意する必要がある。例えば、医療機器の性能に影響を与える、臨床活動に悪影響
を及ぼす、若しくは誤った診断又は治療に繋がるサイバーセキュリティリスクは、本文
書の適用範囲とみなされる。データプライバシーの侵害等、その他の危害も重要である
が、本文書では適用範囲から除外する。さらに、本文書では、製造業者の企業活動に関
するサイバーセキュリティを適用範囲から除外する。製造業者の企業活動のセキュリテ
ィに関するベストプラクティスについては、米国国立標準技術研究所(National Institute
of Standard and Technology:NIST)のサイバーセキュリティフレームワークが情報源と
しての重要な役割を果たしている。
本文書は以下の事項を意図している。
医療機器の設計及び開発に適切なサイバーセキュリティ対応を組み込むために、リ
スクベースアプローチを採用する。
医療機器及び接続されるヘルスケアインフラの安全性、性能及びセキュリティを確
保する。
サイバーセキュリティは、製造業者、ヘルスケアプロバイダ、ユーザ、規制当局及
び脆弱性発見者等を含む全ての関係者の共同責任であることを認識する。
それらの関係者に対して、製品ライフサイクルの全体に渡り、患者危害のリスクを
最小化するために有益な推奨事項を提供する。
用語を定義すると共に、医療機器のサイバーセキュリティを確保するため、現時点
のベストプラクティスを記載する。
2020/3/18
Page 6 of 51
8/53 ページ