よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (35 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
ために重要であり、これに従うことで、患者の安全を確保する上で有益な効果を得られ
ることが期待される。
4.1
国際整合
医療機器のサイバーセキュリティは、国際的に注目されている。セキュリティのインシ
デントは、診断若しくは治療の過失を引き起こす、機器の安全な性能を脅かす、臨床活
動に影響を与える、患者の救急救命の利用を妨げること等によって、世界中のヘルスケ
アシステムの患者安全を脅かす可能性がある。サイバーセキュリティに対する取り組み
の国際的整合は、イノベーションを促進し、安全で効果的な医療機器を遅滞なく患者の
治療に使用可能とすると共に、患者安全の維持を確保するために必要である。全ての責
任関係者は、医療機器の全ライフサイクルに渡ったサイバーセキュリティ対応を国際整
合させることが奨励される。これには、製品設計、医療機器の全ライフサイクルを通し
たリスクマネジメント、医療機器のラベリング、規制当局への申請に対する要求事項、
情報共有、市販後活動に関する整合化が含まれる。
4.2
製品ライフサイクルの全体
サイバーセキュリティの脅威及び脆弱性に関するリスクは、初期構想段階から EOS に
至る、医療機器の製品寿命に関する全ての段階を通して検討することが望ましい。サイ
バーセキュリティの動的特性を効果的に管理するためには、リスクマネジメントを製品
の全ライフサイクルに渡って適用し、設計、製造、試験及び市販後監視等の各過程にお
いてサイバーセキュリティリスクを評価及び緩和することが望ましい。
安全性とセキュリティとのバランスを図ることも必要である。製造業者は、サイバーセ
キュリティのコントロール及び緩和策を組み込む際、医療機器の安全性及び基本性能を
維持することが重要である。
4.3
共同責任
医療機器のサイバーセキュリティは、製造業者、ヘルスケアプロバイダ、規制当局及び
脆弱性発見者の共同責任である。全ての責任関係者は、医療機器の全ライフサイクルを
通して、潜在的なサイバーセキュリティリスク及び脅威を継続的に監視、評価、緩和、
情報共有、対応するため、自らの責任を理解し、他の責任関係者と密接に連携する必要
がある。
4.4
情報共有
サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するた
めの TPLC アプローチの基礎原則である。サイバーセキュリティの情報を共有するため、
全ての責任関係者が、市販前及び市販後に積極的に対応することが奨励される。遅滞な
く情報が共有されることによって、全ての責任当事者が、脅威を特定し、関連するリス
クを評価し、それに適宜対応するための能力が最大化する。その一環として、全ての責
任関係者は、医療機器及び接続するヘルスケアインフラの安全性、性能、完全性及びセ
2020/3/18
Page 10 of 51
12/53 ページ
ために重要であり、これに従うことで、患者の安全を確保する上で有益な効果を得られ
ることが期待される。
4.1
国際整合
医療機器のサイバーセキュリティは、国際的に注目されている。セキュリティのインシ
デントは、診断若しくは治療の過失を引き起こす、機器の安全な性能を脅かす、臨床活
動に影響を与える、患者の救急救命の利用を妨げること等によって、世界中のヘルスケ
アシステムの患者安全を脅かす可能性がある。サイバーセキュリティに対する取り組み
の国際的整合は、イノベーションを促進し、安全で効果的な医療機器を遅滞なく患者の
治療に使用可能とすると共に、患者安全の維持を確保するために必要である。全ての責
任関係者は、医療機器の全ライフサイクルに渡ったサイバーセキュリティ対応を国際整
合させることが奨励される。これには、製品設計、医療機器の全ライフサイクルを通し
たリスクマネジメント、医療機器のラベリング、規制当局への申請に対する要求事項、
情報共有、市販後活動に関する整合化が含まれる。
4.2
製品ライフサイクルの全体
サイバーセキュリティの脅威及び脆弱性に関するリスクは、初期構想段階から EOS に
至る、医療機器の製品寿命に関する全ての段階を通して検討することが望ましい。サイ
バーセキュリティの動的特性を効果的に管理するためには、リスクマネジメントを製品
の全ライフサイクルに渡って適用し、設計、製造、試験及び市販後監視等の各過程にお
いてサイバーセキュリティリスクを評価及び緩和することが望ましい。
安全性とセキュリティとのバランスを図ることも必要である。製造業者は、サイバーセ
キュリティのコントロール及び緩和策を組み込む際、医療機器の安全性及び基本性能を
維持することが重要である。
4.3
共同責任
医療機器のサイバーセキュリティは、製造業者、ヘルスケアプロバイダ、規制当局及び
脆弱性発見者の共同責任である。全ての責任関係者は、医療機器の全ライフサイクルを
通して、潜在的なサイバーセキュリティリスク及び脅威を継続的に監視、評価、緩和、
情報共有、対応するため、自らの責任を理解し、他の責任関係者と密接に連携する必要
がある。
4.4
情報共有
サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するた
めの TPLC アプローチの基礎原則である。サイバーセキュリティの情報を共有するため、
全ての責任関係者が、市販前及び市販後に積極的に対応することが奨励される。遅滞な
く情報が共有されることによって、全ての責任当事者が、脅威を特定し、関連するリス
クを評価し、それに適宜対応するための能力が最大化する。その一環として、全ての責
任関係者は、医療機器及び接続するヘルスケアインフラの安全性、性能、完全性及びセ
2020/3/18
Page 10 of 51
12/53 ページ