よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (45 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
5.6
規制当局への申請に関する文書
製造業者は、上項に概説した対応に加えて、サイバーセキュリティに関する自社の活動
を明確に文書化し、要約することが望ましい。規制当局は、医療機器のクラス分類に応
じて、サイバーセキュリティ対応に関する文書を市販前又は市販後の段階で要求する可
能性がある。規制当局が市販前承認のためにサイバーセキュリティ文書を要求する場合、
製造業者は、サイバーセキュリティに関連して、医療機器の設計機能、リスクマネジメ
ント活動、検証試験、ラベリング及び製品の全ライフサイクルに渡って新たに発生する
脅威を監視し、対応するための計画の根拠を明確に記載した文書を提出することが望ま
しい。これらの詳細については、下項で説明する。
5.6.1
設計文書
全てのインタフェース又は通信経路又はコンポーネント(ハードウェア及びソフトウェ
ア)、患者危害に関するサイバーセキュリティのリスクを緩和するために、アクセスコ
ントロール、暗号化、セキュアなアップデート、ログ機能、物理的セキュリティ等に関
する対策を選択した根拠及び推定を中心として、5.1 項で概説した全ての設計機能を記
載した文書である。
5.6.2
リスクマネジメント文書
サイバーセキュリティの脅威及び脆弱性、関連するリスクの推定、リスクを緩和するた
めに行うリスクコントロール、並びにリスクコントロールが適切に検証されたことを示
す根拠を明確に説明する文書である。製造業者は、その他の安全性に過度な影響を与え
ることなく、医療機器のサイバーセキュリティを最大化するリスクコントロールについ
て検討することが望ましい。特に、規制当局に提出するサイバーセキュリティに関連す
るリスクマネジメント文書では、明確な説明を心掛けると共に、リスクマネジメント規
格(AAMI TIR57:2016、AAMI TIR97:2019 等)をガイダンスとして利用することが望ま
しい。この成果文書を全体的なリスクマネジメントの入力として利用できるように、
ISO 14971:2019 で規定されている全体的な要件に従って成果文書を作成することが望ま
しい。サイバーセキュリティに関するリスクマネジメント文書には、以下のような文書
がある。
リスクマネジメント報告書やセキュリティリスクマネジメント報告書等の包括的な
リスクマネジメント文書。これらの文書には、脅威モデリング及び特定されたサイ
バーセキュリティの脅威について記載することが望ましい。
その他のリスクマネジメントに与えるセキュリティリスク緩和策の影響に関する考
察
5.6.3
セキュリティ試験の文書
医療機器のセキュリティ及び全てのセキュリティコントロールの有効性を検証するため
に実施した全ての試験を要約した試験報告書である。 5.3 項に記載したソフトウェアコ
2020/3/18
Page 20 of 51
22/53 ページ
5.6
規制当局への申請に関する文書
製造業者は、上項に概説した対応に加えて、サイバーセキュリティに関する自社の活動
を明確に文書化し、要約することが望ましい。規制当局は、医療機器のクラス分類に応
じて、サイバーセキュリティ対応に関する文書を市販前又は市販後の段階で要求する可
能性がある。規制当局が市販前承認のためにサイバーセキュリティ文書を要求する場合、
製造業者は、サイバーセキュリティに関連して、医療機器の設計機能、リスクマネジメ
ント活動、検証試験、ラベリング及び製品の全ライフサイクルに渡って新たに発生する
脅威を監視し、対応するための計画の根拠を明確に記載した文書を提出することが望ま
しい。これらの詳細については、下項で説明する。
5.6.1
設計文書
全てのインタフェース又は通信経路又はコンポーネント(ハードウェア及びソフトウェ
ア)、患者危害に関するサイバーセキュリティのリスクを緩和するために、アクセスコ
ントロール、暗号化、セキュアなアップデート、ログ機能、物理的セキュリティ等に関
する対策を選択した根拠及び推定を中心として、5.1 項で概説した全ての設計機能を記
載した文書である。
5.6.2
リスクマネジメント文書
サイバーセキュリティの脅威及び脆弱性、関連するリスクの推定、リスクを緩和するた
めに行うリスクコントロール、並びにリスクコントロールが適切に検証されたことを示
す根拠を明確に説明する文書である。製造業者は、その他の安全性に過度な影響を与え
ることなく、医療機器のサイバーセキュリティを最大化するリスクコントロールについ
て検討することが望ましい。特に、規制当局に提出するサイバーセキュリティに関連す
るリスクマネジメント文書では、明確な説明を心掛けると共に、リスクマネジメント規
格(AAMI TIR57:2016、AAMI TIR97:2019 等)をガイダンスとして利用することが望ま
しい。この成果文書を全体的なリスクマネジメントの入力として利用できるように、
ISO 14971:2019 で規定されている全体的な要件に従って成果文書を作成することが望ま
しい。サイバーセキュリティに関するリスクマネジメント文書には、以下のような文書
がある。
リスクマネジメント報告書やセキュリティリスクマネジメント報告書等の包括的な
リスクマネジメント文書。これらの文書には、脅威モデリング及び特定されたサイ
バーセキュリティの脅威について記載することが望ましい。
その他のリスクマネジメントに与えるセキュリティリスク緩和策の影響に関する考
察
5.6.3
セキュリティ試験の文書
医療機器のセキュリティ及び全てのセキュリティコントロールの有効性を検証するため
に実施した全ての試験を要約した試験報告書である。 5.3 項に記載したソフトウェアコ
2020/3/18
Page 20 of 51
22/53 ページ