よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (61 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
表 3.
ソフトウェアアップデート及び規制当局の監視に関する推奨レベル
提案されたソフトウェア変更が、複数の脆弱性に影響する又は「サイバー衛生管理」を
改善し少なくとも一つの脆弱性に影響する場合、製造業者は、その後の対応を通知する
際、表 3 に示した最高レベルの項目の適用について検討することが望ましい。例えば、
一つのソフトウェア変更によりシステムセキュリティを強化し、脆弱性 A のリスクを
低減し、脆弱性 B を修正することがある。この場合、脆弱性 B に関連する「高」レベ
ルの規制要求事項が適用される。
いかなるレベルにおいても、規制当局は、自らの判断で、製造業者が IEC 62304:2006/
AMD 1:2015 に規定されているソフトウェア保守のライフサイクルプロセス及びその他
の規制要求事項に適合している科学的根拠を要求することがある。
6.5
インシデントへの対応
6.5.1
医療機器製造業者
製造業者は、製品及び患者を含む顧客に影響を及ぼす可能性があるサイバーセキュリテ
ィのインシデントやその他の事象に対応する準備を行う必要がある。製造業者は、自社
製品に関するリスク管理対策を階層的に整理したポートフォリオに基づいて、拡張性の
あるインシデント対応管理ポリシーを確立し、インシデント対応チームを組織しなけれ
ばならない。インシデント対応チームは、サイバーセキュリティのインシデントについ
て評価、対応すると共に、その経験に基づいた適切な情報リスクマネジメント能力を共
有し、次のインシデントが発生した際に遅滞なく適切に行動するために必要な調整、管
理、フィードバック及び連携体制に関する情報を提供する。
サイバーセキュリティへの対応準備には、インシデント管理ポリシーの確立、詳細なイ
ンシデント対応計画の策定、インシデント対応チームの設立、インシデント対応の定期
的な試験及び練習、並びに得られた教訓を通じて、インシデントへの対応能力を継続的
に向上することが含まれる。
ISO/IEC 27035 が規定するインシデントマネジメントには、「計画及び準備」、「検知
及び報告」、「評価及び決定」、「対応」及び「得られた教訓」が上位レベルとして含
まれている(附属書 A 参照)。詳細は次項を参照すること。
a. 役割及び責任
インシデント対応チームは、マネージャ、計画作成グループ、監視グループ、対応グル
ープ、実施グループ、分析グループ等の様々なグループに分割されることがあると共に、
外部専門家が参画する場合もある。各グループは、それぞれの役割及び責任を有してお
り、スキル及び知識に基づいて人員を適切に配置することが望ましい。役職によっては、
複数のグループの人員が担当する場合もある。相互に関連するグループに配属された人
2020/3/18
Page 36 of 51
38/53 ページ
表 3.
ソフトウェアアップデート及び規制当局の監視に関する推奨レベル
提案されたソフトウェア変更が、複数の脆弱性に影響する又は「サイバー衛生管理」を
改善し少なくとも一つの脆弱性に影響する場合、製造業者は、その後の対応を通知する
際、表 3 に示した最高レベルの項目の適用について検討することが望ましい。例えば、
一つのソフトウェア変更によりシステムセキュリティを強化し、脆弱性 A のリスクを
低減し、脆弱性 B を修正することがある。この場合、脆弱性 B に関連する「高」レベ
ルの規制要求事項が適用される。
いかなるレベルにおいても、規制当局は、自らの判断で、製造業者が IEC 62304:2006/
AMD 1:2015 に規定されているソフトウェア保守のライフサイクルプロセス及びその他
の規制要求事項に適合している科学的根拠を要求することがある。
6.5
インシデントへの対応
6.5.1
医療機器製造業者
製造業者は、製品及び患者を含む顧客に影響を及ぼす可能性があるサイバーセキュリテ
ィのインシデントやその他の事象に対応する準備を行う必要がある。製造業者は、自社
製品に関するリスク管理対策を階層的に整理したポートフォリオに基づいて、拡張性の
あるインシデント対応管理ポリシーを確立し、インシデント対応チームを組織しなけれ
ばならない。インシデント対応チームは、サイバーセキュリティのインシデントについ
て評価、対応すると共に、その経験に基づいた適切な情報リスクマネジメント能力を共
有し、次のインシデントが発生した際に遅滞なく適切に行動するために必要な調整、管
理、フィードバック及び連携体制に関する情報を提供する。
サイバーセキュリティへの対応準備には、インシデント管理ポリシーの確立、詳細なイ
ンシデント対応計画の策定、インシデント対応チームの設立、インシデント対応の定期
的な試験及び練習、並びに得られた教訓を通じて、インシデントへの対応能力を継続的
に向上することが含まれる。
ISO/IEC 27035 が規定するインシデントマネジメントには、「計画及び準備」、「検知
及び報告」、「評価及び決定」、「対応」及び「得られた教訓」が上位レベルとして含
まれている(附属書 A 参照)。詳細は次項を参照すること。
a. 役割及び責任
インシデント対応チームは、マネージャ、計画作成グループ、監視グループ、対応グル
ープ、実施グループ、分析グループ等の様々なグループに分割されることがあると共に、
外部専門家が参画する場合もある。各グループは、それぞれの役割及び責任を有してお
り、スキル及び知識に基づいて人員を適切に配置することが望ましい。役職によっては、
複数のグループの人員が担当する場合もある。相互に関連するグループに配属された人
2020/3/18
Page 36 of 51
38/53 ページ