よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (52 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
ことが望ましい。CVD の一環として、規制当局が情報提供する方法とタイミングは、
地域によって異なる可能性がある。ただし、製造業者は、問題を評価した後、広報又は
通知等を使用して、その情報を顧客に遅滞なく伝達することが望ましい。製造業者は、
遅滞のない情報交換に関する各地域特有の法規制が存在することに留意することが望ま
しい。
ソフトウェアが搭載された医療機器を完全に脆弱性のない状態とすることは不可能であ
るため、CVD への取り組みを日常的な実践の一部とすることが望ましい。サイバーセ
キュリティに対する製造業者の評価指標は、脆弱性の開示数ではなく、その対応に係る
一貫性及び適時性である。CVD は、患者の健康及び安全を改善する一助であり、医療
機器のサイバーセキュリティに対する製造業者の積極的なアプローチの一部として実施
されることが望ましい。積極的な CVD に関連して、製造業者は以下の事項を実施する
ことが望ましい。
●
サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキ
ュリティの情報源を監視する。
●
協調的な脆弱性開示のポリシー及びプラクティスを採用する(ISO/IEC 29147:2014:
情報技術 – セキュリティ手法 – 脆弱性の開示)。これには脆弱性報告の受領確認を
脆弱性発見者に対して指定された期間内に通知することが含まれる。
●
脆弱性の検出及び処理のためのプロセスを確立し伝達する(ISO/IEC 30111:2013:情
報技術 − セキュリティ手法 − 脆弱性の処理プロセス)。このプロセスは、セキュリ
ティ研究者、ヘルスケアプロバイダ等、脆弱性報告の発生源に拘わらず、明確性且
つ一貫性及び再現性が求められる。
●
CVSS 等の確立したセキュリティの方法論及び臨床的なリスクアセスメント手法
(ISO 14971:2019 等)に従って、報告された脆弱性を評価する。
●
可能であれば、緩和策を作成する。改善が不可能な場合は、展開失敗時の報告方法
及び変更の初期化方法と共に、適切な脆弱性の緩和策又は補完的対策を講じる。
●
規制当局からの要求に応じて、脆弱性の開示予定に関する情報共有について規制当
局と連携する。
●
責任関係者に対し、適用範囲、影響、製造業者の現時点の理解に基づくリスクアセ
スメントを含む脆弱性、脆弱性の緩和策又は補完的対策に関する情報を提供する。
状況が変化した場合、責任関係者にも最新情報を提供することが望ましい。
製造業者は、顧客に対する通知に加えて、自社製品の脆弱性を全世界に向けて協調的に
開示することが奨励される。CERT 等の組織は、CVD プロセス全体を通して、脆弱性
の発見者及び製造業者と共同で作業を行う機会が多い。特に CERT は、各地域の組織
がそれぞれの言語に翻訳した勧告の発出を通じて世界的に開示する役割を果たしている。
2020/3/18
Page 27 of 51
29/53 ページ
ことが望ましい。CVD の一環として、規制当局が情報提供する方法とタイミングは、
地域によって異なる可能性がある。ただし、製造業者は、問題を評価した後、広報又は
通知等を使用して、その情報を顧客に遅滞なく伝達することが望ましい。製造業者は、
遅滞のない情報交換に関する各地域特有の法規制が存在することに留意することが望ま
しい。
ソフトウェアが搭載された医療機器を完全に脆弱性のない状態とすることは不可能であ
るため、CVD への取り組みを日常的な実践の一部とすることが望ましい。サイバーセ
キュリティに対する製造業者の評価指標は、脆弱性の開示数ではなく、その対応に係る
一貫性及び適時性である。CVD は、患者の健康及び安全を改善する一助であり、医療
機器のサイバーセキュリティに対する製造業者の積極的なアプローチの一部として実施
されることが望ましい。積極的な CVD に関連して、製造業者は以下の事項を実施する
ことが望ましい。
●
サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキ
ュリティの情報源を監視する。
●
協調的な脆弱性開示のポリシー及びプラクティスを採用する(ISO/IEC 29147:2014:
情報技術 – セキュリティ手法 – 脆弱性の開示)。これには脆弱性報告の受領確認を
脆弱性発見者に対して指定された期間内に通知することが含まれる。
●
脆弱性の検出及び処理のためのプロセスを確立し伝達する(ISO/IEC 30111:2013:情
報技術 − セキュリティ手法 − 脆弱性の処理プロセス)。このプロセスは、セキュリ
ティ研究者、ヘルスケアプロバイダ等、脆弱性報告の発生源に拘わらず、明確性且
つ一貫性及び再現性が求められる。
●
CVSS 等の確立したセキュリティの方法論及び臨床的なリスクアセスメント手法
(ISO 14971:2019 等)に従って、報告された脆弱性を評価する。
●
可能であれば、緩和策を作成する。改善が不可能な場合は、展開失敗時の報告方法
及び変更の初期化方法と共に、適切な脆弱性の緩和策又は補完的対策を講じる。
●
規制当局からの要求に応じて、脆弱性の開示予定に関する情報共有について規制当
局と連携する。
●
責任関係者に対し、適用範囲、影響、製造業者の現時点の理解に基づくリスクアセ
スメントを含む脆弱性、脆弱性の緩和策又は補完的対策に関する情報を提供する。
状況が変化した場合、責任関係者にも最新情報を提供することが望ましい。
製造業者は、顧客に対する通知に加えて、自社製品の脆弱性を全世界に向けて協調的に
開示することが奨励される。CERT 等の組織は、CVD プロセス全体を通して、脆弱性
の発見者及び製造業者と共同で作業を行う機会が多い。特に CERT は、各地域の組織
がそれぞれの言語に翻訳した勧告の発出を通じて世界的に開示する役割を果たしている。
2020/3/18
Page 27 of 51
29/53 ページ