よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (54 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
評価によって決定されるが、リスクに対する認識に大きな乖離がある場合、適切な修正
戦略について製造業者と規制当局が同意する可能性は低くなる。
製造業者及び規制当局は、リスクマネジメント、品質マネジメント及び規制に精通して
いない可能性があるその他の責任関係者が認識しているリスクについても考慮する必要
がある。これに伴い、製造業者はセキュリティの脆弱性に対応する期限及び手法につい
て、異なる期待が寄せられることになる。また、脆弱な医療機器を十分に保護し、患者
危害のリスクを許容可能なレベルまで低減する補完的対策等のリスク低減メカニズムを
理解しない責任関係者も存在する。患者へリスクを及ぼし得る不正確な情報が存在する
場合、医療技術の信頼性が大きく損なわれる可能性がある。
全ての責任関係者は、医療機器に関するその他のリスクと同様に、サイバーセキュリテ
ィの脆弱性が患者及びユーザに対するリスクと同等に管理されることを認識する必要が
ある。
b. サードパーティ製コンポーネント
サードパーティ製コンポーネントは、ソフトウェア又はハードウェアに拘わらず、医療
機器のサプライチェーンの重要な構成要素の一つである。これらのコンポーネントは、
自らリスクを発生する可能性がある。当該リスクは、製造業者がリスクマネジメント、
品質マネジメント及び設計の選択によって管理する。製造業者は、自社のソフトウェア
及びハードウェアのコンポーネントがサイバーセキュリティに与える影響を管理するこ
とが望ましい。同様に製造業者は、サードパーティ製コンポーネントに由来する市販後
の問題が医療機器のセキュリティに影響し得るリスクも管理する必要がある。ユーザは、
オペレーティングシステムやプロセッサ等のコンポーネントにおけるセキュリティの脆
弱性が医療機器に及ぼす影響について、製造業者が理解していることを期待する。
製造業者は、サードパーティ製コンポーネントの脆弱性に関する対応として、自社製コ
ンポーネントの場合と同様、継続的なリスクマネジメント及び顧客やユーザとの継続的
な情報共有を行うことが望ましい。製造業者がサードパーティ製品の脆弱性を解決する
ためのアップデートを適用するタイミングを管理することは難しいが、その場合でも製
造業者は、患者及びユーザに対するリスクを低減するための対策を講じることが期待さ
れている。
c. コミュニケーション
本文書のその他の項に記載したとおり、リスクを管理するための情報を必要とする人と
明確且つ簡潔なコミュニケーションを図ることが不可欠である。このようなリスクを管
理するために必要な技術的専門知識の水準を理解すべきである。コミュニケーションの
内容には、脆弱性解決スケジュール、脆弱性解決方法、CVSS スコア等の脆弱性スコア、
悪用可能性指標、悪用方法、暫定的なリスク緩和手法等の重要な情報を含めることが望
ましい。
2020/3/18
Page 29 of 51
31/53 ページ
評価によって決定されるが、リスクに対する認識に大きな乖離がある場合、適切な修正
戦略について製造業者と規制当局が同意する可能性は低くなる。
製造業者及び規制当局は、リスクマネジメント、品質マネジメント及び規制に精通して
いない可能性があるその他の責任関係者が認識しているリスクについても考慮する必要
がある。これに伴い、製造業者はセキュリティの脆弱性に対応する期限及び手法につい
て、異なる期待が寄せられることになる。また、脆弱な医療機器を十分に保護し、患者
危害のリスクを許容可能なレベルまで低減する補完的対策等のリスク低減メカニズムを
理解しない責任関係者も存在する。患者へリスクを及ぼし得る不正確な情報が存在する
場合、医療技術の信頼性が大きく損なわれる可能性がある。
全ての責任関係者は、医療機器に関するその他のリスクと同様に、サイバーセキュリテ
ィの脆弱性が患者及びユーザに対するリスクと同等に管理されることを認識する必要が
ある。
b. サードパーティ製コンポーネント
サードパーティ製コンポーネントは、ソフトウェア又はハードウェアに拘わらず、医療
機器のサプライチェーンの重要な構成要素の一つである。これらのコンポーネントは、
自らリスクを発生する可能性がある。当該リスクは、製造業者がリスクマネジメント、
品質マネジメント及び設計の選択によって管理する。製造業者は、自社のソフトウェア
及びハードウェアのコンポーネントがサイバーセキュリティに与える影響を管理するこ
とが望ましい。同様に製造業者は、サードパーティ製コンポーネントに由来する市販後
の問題が医療機器のセキュリティに影響し得るリスクも管理する必要がある。ユーザは、
オペレーティングシステムやプロセッサ等のコンポーネントにおけるセキュリティの脆
弱性が医療機器に及ぼす影響について、製造業者が理解していることを期待する。
製造業者は、サードパーティ製コンポーネントの脆弱性に関する対応として、自社製コ
ンポーネントの場合と同様、継続的なリスクマネジメント及び顧客やユーザとの継続的
な情報共有を行うことが望ましい。製造業者がサードパーティ製品の脆弱性を解決する
ためのアップデートを適用するタイミングを管理することは難しいが、その場合でも製
造業者は、患者及びユーザに対するリスクを低減するための対策を講じることが期待さ
れている。
c. コミュニケーション
本文書のその他の項に記載したとおり、リスクを管理するための情報を必要とする人と
明確且つ簡潔なコミュニケーションを図ることが不可欠である。このようなリスクを管
理するために必要な技術的専門知識の水準を理解すべきである。コミュニケーションの
内容には、脆弱性解決スケジュール、脆弱性解決方法、CVSS スコア等の脆弱性スコア、
悪用可能性指標、悪用方法、暫定的なリスク緩和手法等の重要な情報を含めることが望
ましい。
2020/3/18
Page 29 of 51
31/53 ページ