よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (34 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
3.20 脅威(Threat):セキュリティを侵害し、危害を引き起こし得る状況、能力、行動
又は事象が存在する際のセキュリティ違反の可能性(ISO/IEC Guide 120)
3.21 脅威モデリング(Threat Modeling):データの破壊、漏洩、改ざん又はサービス拒
否の形でシステムに危害を及ぼす可能性のある状況又は事象を明らかにするため
の調査プロセス(ISO/IEC/IEEE 24765-2017 から変更)
3.22 アップデート(Update):医療機器ソフトウェアを対象とした修正、予防、適応
又は完全化に関する変更
注記 1: ISO/IEC 14764:2006 に規定するソフトウェア保守活動に由来する。
注記 2: アップデートには、パッチ及び設定変更が含まれる。
注記 3: 適応及び完全化に関する変更は設計仕様時になかったソフトウェアの改良
である。
3.23 バリデーション(Validation):客観的証拠を提示することによって、意図する使
用 又 は 適 用 に 関 す る 要 求 事 項 が 満 た さ れ て い る こ と を 確 認 す る こ と ( ISO
9000:2015)
注記 1: "バリデート済み"とは、バリデーションが完了している状態を示す。
注記 2: バリデーションは、実環境又は模擬環境で実施される。
3.24 検証(Verification):客観的証拠を提示することによって、規定要求事項が満た
されていることを確認すること(ISO/IEC Guide 63)
注記 1: 検証のために必要な客観的証拠としては、検査結果のほか、別法による計
算又は文書のレビュー等の結果であることがある。
注記 2: 検証のために行われる活動は、適格性プロセスと呼ばれることがある。
注記 3: "検証済み"とは、検証が完了している状態を示す。
3.25 脆弱性(Vulnerability):一つ以上の脅威によって悪用される可能性のある資産又
は管理策の弱点(ISO/IEC 27000:2018)
4.0 一般原則
本項では、医療機器を開発、規制、使用、監視する際に責任関係者が検討すべき、医療
機器のサイバーセキュリティに関する一般指針原則を示す。本ガイダンスの全体を通し
て述べられている当該原則は、医療機器の全体的なサイバーセキュリティを向上させる
2020/3/18
Page 9 of 51
11/53 ページ
3.20 脅威(Threat):セキュリティを侵害し、危害を引き起こし得る状況、能力、行動
又は事象が存在する際のセキュリティ違反の可能性(ISO/IEC Guide 120)
3.21 脅威モデリング(Threat Modeling):データの破壊、漏洩、改ざん又はサービス拒
否の形でシステムに危害を及ぼす可能性のある状況又は事象を明らかにするため
の調査プロセス(ISO/IEC/IEEE 24765-2017 から変更)
3.22 アップデート(Update):医療機器ソフトウェアを対象とした修正、予防、適応
又は完全化に関する変更
注記 1: ISO/IEC 14764:2006 に規定するソフトウェア保守活動に由来する。
注記 2: アップデートには、パッチ及び設定変更が含まれる。
注記 3: 適応及び完全化に関する変更は設計仕様時になかったソフトウェアの改良
である。
3.23 バリデーション(Validation):客観的証拠を提示することによって、意図する使
用 又 は 適 用 に 関 す る 要 求 事 項 が 満 た さ れ て い る こ と を 確 認 す る こ と ( ISO
9000:2015)
注記 1: "バリデート済み"とは、バリデーションが完了している状態を示す。
注記 2: バリデーションは、実環境又は模擬環境で実施される。
3.24 検証(Verification):客観的証拠を提示することによって、規定要求事項が満た
されていることを確認すること(ISO/IEC Guide 63)
注記 1: 検証のために必要な客観的証拠としては、検査結果のほか、別法による計
算又は文書のレビュー等の結果であることがある。
注記 2: 検証のために行われる活動は、適格性プロセスと呼ばれることがある。
注記 3: "検証済み"とは、検証が完了している状態を示す。
3.25 脆弱性(Vulnerability):一つ以上の脅威によって悪用される可能性のある資産又
は管理策の弱点(ISO/IEC 27000:2018)
4.0 一般原則
本項では、医療機器を開発、規制、使用、監視する際に責任関係者が検討すべき、医療
機器のサイバーセキュリティに関する一般指針原則を示す。本ガイダンスの全体を通し
て述べられている当該原則は、医療機器の全体的なサイバーセキュリティを向上させる
2020/3/18
Page 9 of 51
11/53 ページ