よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (57 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
HSCC が作成した「医療機器及びヘルス IT の合同セキュリティプラン」で文書化され
ているパッチ方法の修正版を表 2 に示した。4 表 2 では、医療機器製造業者が承認した
アップデートを実装するために特定したユーザの主な責任を右列に示している。
アップデート方
法
リモートアップデ
ート
ユーザ管理
サービス訪問
要約
ユーザの責任
製造業者から提供されるセキュアで認定さ
れたリモートサービス及びサポートプラッ
トフォームを介して適用するアップデー
ト。
製造業者が指定したソースから顧客自身が
取得し、インストールする承認済みのアッ
プデート。製品あるいはコンポーネントを
提供するサードパーティからの直接ダウン
ロードを含む。
地域のサービス施設が管理するサイバーセ
キュリティアップデート(オンサイトサービ
スを含む)。注記:誤ったアップデートの適
用によって重大な危害が発生する可能性が
あり、現地でのサービスが必要となる場合
にこの方法を適用する。
製造業者の指示に従って、
リモート接続を確保する。
表 2.
製造業者の指示に従って、
アップデートを取得してイ
ンストールする。
アップデート適用のために
医療機器をサービス施設に
渡す、オンサイトサービス
訪問を受ける、アップデー
ト適用のために専門の医療
施設に出向く。
アップデート方法及び実施におけるユーザの責任
注記:サービス訪問の場合、ユーザは、アップデートのインストールに関する資格を有
する専門家と連携する責任がある。
b. 医療施設環境に対する考慮事項
医療施設において、患者は、規制上有効である免許の有無に拘わらず、医師や看護師等
の資格を有する医療専門家による医療を受けている。患者は、医療機器の安全且つ効果
的な使用を確保するために、セキュリティ関係者も含めたヘルスケアプロバイダの指示
に従うことが期待される。
IEC 80001-1:2010「医療機器を組込んだ IT ネットワークへのリスクマネジメントの適用」
第 1 部「役割・責任・活動」の 3.2 項は、医療 IT ネットワークで運用されている医療
機器の保守を含めて、「責任組織」が実施すべきリスクマネジメントについて規定して
いる。責任組織は、患者を直接担当するヘルスケアプロバイダと異なる場合がある。ア
ップデート適用は、リスクコントロール手段の一種であり、以下に示したとおり、具体
的な指針が 4.4.4.3 項に記載されている。
4
医療機器及びヘルス IT の合同セキュリティプラン(HSCC、2019 年 1 月)。 注:リモートアップデート
及びユーザ管理については、明瞭さを向上するため、「アドホックな」パッチ適用方法を削除している。
2020/3/18
Page 32 of 51
34/53 ページ
HSCC が作成した「医療機器及びヘルス IT の合同セキュリティプラン」で文書化され
ているパッチ方法の修正版を表 2 に示した。4 表 2 では、医療機器製造業者が承認した
アップデートを実装するために特定したユーザの主な責任を右列に示している。
アップデート方
法
リモートアップデ
ート
ユーザ管理
サービス訪問
要約
ユーザの責任
製造業者から提供されるセキュアで認定さ
れたリモートサービス及びサポートプラッ
トフォームを介して適用するアップデー
ト。
製造業者が指定したソースから顧客自身が
取得し、インストールする承認済みのアッ
プデート。製品あるいはコンポーネントを
提供するサードパーティからの直接ダウン
ロードを含む。
地域のサービス施設が管理するサイバーセ
キュリティアップデート(オンサイトサービ
スを含む)。注記:誤ったアップデートの適
用によって重大な危害が発生する可能性が
あり、現地でのサービスが必要となる場合
にこの方法を適用する。
製造業者の指示に従って、
リモート接続を確保する。
表 2.
製造業者の指示に従って、
アップデートを取得してイ
ンストールする。
アップデート適用のために
医療機器をサービス施設に
渡す、オンサイトサービス
訪問を受ける、アップデー
ト適用のために専門の医療
施設に出向く。
アップデート方法及び実施におけるユーザの責任
注記:サービス訪問の場合、ユーザは、アップデートのインストールに関する資格を有
する専門家と連携する責任がある。
b. 医療施設環境に対する考慮事項
医療施設において、患者は、規制上有効である免許の有無に拘わらず、医師や看護師等
の資格を有する医療専門家による医療を受けている。患者は、医療機器の安全且つ効果
的な使用を確保するために、セキュリティ関係者も含めたヘルスケアプロバイダの指示
に従うことが期待される。
IEC 80001-1:2010「医療機器を組込んだ IT ネットワークへのリスクマネジメントの適用」
第 1 部「役割・責任・活動」の 3.2 項は、医療 IT ネットワークで運用されている医療
機器の保守を含めて、「責任組織」が実施すべきリスクマネジメントについて規定して
いる。責任組織は、患者を直接担当するヘルスケアプロバイダと異なる場合がある。ア
ップデート適用は、リスクコントロール手段の一種であり、以下に示したとおり、具体
的な指針が 4.4.4.3 項に記載されている。
4
医療機器及びヘルス IT の合同セキュリティプラン(HSCC、2019 年 1 月)。 注:リモートアップデート
及びユーザ管理については、明瞭さを向上するため、「アドホックな」パッチ適用方法を削除している。
2020/3/18
Page 32 of 51
34/53 ページ