よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (51 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
共有する情報には、脅威の緩和策及び方法も含めることが望ましい。例えば、医療機器
に影響する脆弱性を緩和するための IT 機器の構成、既知の悪用に対応する方法等を含
めることが望ましい。
6.2.4
信頼できるコミュニケーション
情報共有の目的はセキュリティ及び患者安全の向上である。情報共有のネットワークは、
共有された情報が商業的な優位性を得るために使用されないことを理解して、必要に応
じて書面による合意をもって設定することが望ましい。情報共有を促進する方法の一つ
として、共有される情報の匿名化が挙げられる。
6.3
協調的な脆弱性の開示 (CVD)
未知の脆弱性等を考慮してセキュアな状態とすることは難しいため、透明性は、サイバ
ーセキュリティのインシデントへの準備及び対応において不可欠な構成要素となる。透
明性を強化する一つの手法として、CVD が挙げられる。CVD は、サイバーセキュリテ
ィの脆弱性情報を入手、評価し、緩和策及び補完的対策を開発した上で、顧客、同業他
社、規制当局、サイバーセキュリティ情報共有組織及び一般人を含む様々な責任関係者
に対して、当該情報を開示するための、正式なプロセスを確立する。
CVD のポリシー及び手順の採用は、影響を受ける技術のエンドユーザが、医療機器及
びヘルス IT インフラをより適切に保護するための対応を情報に基づいて決定すること
を可能にする、積極的なアプローチである。
CVD への取り組みは、セキュリティ問題への意識向上に係る責任ある行動方針であり、
その他の業界と同様、継続的な品質改善及びリスクマネジメントに関する製造業者の成
熟度の判断基準になると考えることが望ましい。
前向きな CVD は、企業の積極的且つ責任ある対応を測る指標となるが、製造業者が当
該ベストプラクティスを採用した結果、ネガティブキャンペーンが展開される不幸な事
例が幾つか報告されている。ベストプラクティスとしては、CVD を例外なく規範とし
て実施することが望ましい。また、医療機器の責任関係者は、CVD の導入をさらに促
進させるため、CVD のポリシーについて製造業者に照会することを推奨する。
6.3.1
医療機器製造業者
医療機器のエコシステムが成熟することにより、透明性のある活動の利点が十分に認識
されると考えられる。この種の情報開示は、同様の脆弱性によって影響を受ける可能性
がある複数の市販製品による潜在的な危害から、一般の人々を事前に保護する点で極め
て重要である。製造業者における透明性のある対応は、新規製品のセキュリティ設計の
改善に関する直接的なベネフィットを得ることもできる。ヘルスケアプロバイダ及び患
者は、製造業者、CERT やコンピュータセキュリティに係るインシデントに対処するた
めの組織(Computer Security Incident Response Team:CSIRT)等のコンピュータ対応チ
ーム又は規制当局からの CVD が脆弱性に関する権威ある情報源であることを理解する
2020/3/18
Page 26 of 51
28/53 ページ
共有する情報には、脅威の緩和策及び方法も含めることが望ましい。例えば、医療機器
に影響する脆弱性を緩和するための IT 機器の構成、既知の悪用に対応する方法等を含
めることが望ましい。
6.2.4
信頼できるコミュニケーション
情報共有の目的はセキュリティ及び患者安全の向上である。情報共有のネットワークは、
共有された情報が商業的な優位性を得るために使用されないことを理解して、必要に応
じて書面による合意をもって設定することが望ましい。情報共有を促進する方法の一つ
として、共有される情報の匿名化が挙げられる。
6.3
協調的な脆弱性の開示 (CVD)
未知の脆弱性等を考慮してセキュアな状態とすることは難しいため、透明性は、サイバ
ーセキュリティのインシデントへの準備及び対応において不可欠な構成要素となる。透
明性を強化する一つの手法として、CVD が挙げられる。CVD は、サイバーセキュリテ
ィの脆弱性情報を入手、評価し、緩和策及び補完的対策を開発した上で、顧客、同業他
社、規制当局、サイバーセキュリティ情報共有組織及び一般人を含む様々な責任関係者
に対して、当該情報を開示するための、正式なプロセスを確立する。
CVD のポリシー及び手順の採用は、影響を受ける技術のエンドユーザが、医療機器及
びヘルス IT インフラをより適切に保護するための対応を情報に基づいて決定すること
を可能にする、積極的なアプローチである。
CVD への取り組みは、セキュリティ問題への意識向上に係る責任ある行動方針であり、
その他の業界と同様、継続的な品質改善及びリスクマネジメントに関する製造業者の成
熟度の判断基準になると考えることが望ましい。
前向きな CVD は、企業の積極的且つ責任ある対応を測る指標となるが、製造業者が当
該ベストプラクティスを採用した結果、ネガティブキャンペーンが展開される不幸な事
例が幾つか報告されている。ベストプラクティスとしては、CVD を例外なく規範とし
て実施することが望ましい。また、医療機器の責任関係者は、CVD の導入をさらに促
進させるため、CVD のポリシーについて製造業者に照会することを推奨する。
6.3.1
医療機器製造業者
医療機器のエコシステムが成熟することにより、透明性のある活動の利点が十分に認識
されると考えられる。この種の情報開示は、同様の脆弱性によって影響を受ける可能性
がある複数の市販製品による潜在的な危害から、一般の人々を事前に保護する点で極め
て重要である。製造業者における透明性のある対応は、新規製品のセキュリティ設計の
改善に関する直接的なベネフィットを得ることもできる。ヘルスケアプロバイダ及び患
者は、製造業者、CERT やコンピュータセキュリティに係るインシデントに対処するた
めの組織(Computer Security Incident Response Team:CSIRT)等のコンピュータ対応チ
ーム又は規制当局からの CVD が脆弱性に関する権威ある情報源であることを理解する
2020/3/18
Page 26 of 51
28/53 ページ