よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (62 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
員は、同一又は類似の作業に対して責任を持つことが望ましい。これらのグループの役
割に関する詳細情報は、附属書 A に示した。
b. コミュニケーションに対する期待
製造業者は、サイバーセキュリティのインシデントやその他の事象を報告する連絡先情
報を顧客に提供することが望ましい。通常の顧客サービス受付を通してサイバーセキュ
リティのインシデントやその他の事象を通知しても良い。インシデント対応チームは、
インシデントの影響を受ける全ての責任関係者と最新情報を共有するための日常的な活
動体制を確立し、最初の発見後、可能な限り早急に顧客へ適切な情報を提供する必要が
ある。製造業者は遅滞なく情報共有するための特定の管轄要件を策定しておくことが望
ましい。インシデント発生直後における製造業者による報告書又は通知の発行可否につ
いては、顧客に対し遅滞なく正確な情報共有を実施可能であるかに依存する。
製造業者は、患者安全及びプライバシーに影響する医療機器のサイバーセキュリティの
インシデントを規制当局に報告しなければならない。調査の過程で犯罪行為が特定され
た場合は、所管の適切な法執行機関に通知しなければならない。CERT 及び ISAO はグ
ローバルなサイバーセキュリティの攻撃及び事象に関して更なる連携強化を図るべきで
ある。
6.5.2
ヘルスケアプロバイダ
ヘルスケアプロバイダは、サイバーセキュリティのインシデントを処理するためのポリ
シー、インシデントを緩和又は解決し、内外の責任関係者に関連情報を開示するための
方法を確立することが望ましい。その一環として、ヘルスケアプロバイダは、脆弱性の
緩和に関する計画とリソース管理について検討することが望ましい。この措置には、イ
ンシデント対応中、必要に応じて代替機器を提供するための費用も含まれる可能性があ
る。
a. ポリシー及び役割
サイバーセキュリティの脆弱性又はインシデントを処理するためのポリシー及び役割は、
ヘルスケアプロバイダの組織にも整備されていることが望ましい。ヘルスケアプロバイ
ダは、MDS2(Manufacturer Disclosure Statement for Medical Device Security:MDS2)、
SBOM、脆弱性及びアップデート情報等の製造業者の開示文書、情報共有機関又は参画
している ISAO からの情報を受領し、広範に共有する方法を確立することが望ましい。
そのためには、情報提供先及び提供元の連絡先リストを定期的に管理・検証する必要が
ある。また、医療機器の納入前に締結し且つ定期的に見直すサービスレベル契約
(Service Level Agreements:SLAs)には、インシデント対応中に製造業者及びその他の
ベンダーが遵守すべき事項を記載しなければならない。ヘルスケアプロバイダは、独自
のインシデント対応チームを設立することが奨励される。
2020/3/18
Page 37 of 51
39/53 ページ
員は、同一又は類似の作業に対して責任を持つことが望ましい。これらのグループの役
割に関する詳細情報は、附属書 A に示した。
b. コミュニケーションに対する期待
製造業者は、サイバーセキュリティのインシデントやその他の事象を報告する連絡先情
報を顧客に提供することが望ましい。通常の顧客サービス受付を通してサイバーセキュ
リティのインシデントやその他の事象を通知しても良い。インシデント対応チームは、
インシデントの影響を受ける全ての責任関係者と最新情報を共有するための日常的な活
動体制を確立し、最初の発見後、可能な限り早急に顧客へ適切な情報を提供する必要が
ある。製造業者は遅滞なく情報共有するための特定の管轄要件を策定しておくことが望
ましい。インシデント発生直後における製造業者による報告書又は通知の発行可否につ
いては、顧客に対し遅滞なく正確な情報共有を実施可能であるかに依存する。
製造業者は、患者安全及びプライバシーに影響する医療機器のサイバーセキュリティの
インシデントを規制当局に報告しなければならない。調査の過程で犯罪行為が特定され
た場合は、所管の適切な法執行機関に通知しなければならない。CERT 及び ISAO はグ
ローバルなサイバーセキュリティの攻撃及び事象に関して更なる連携強化を図るべきで
ある。
6.5.2
ヘルスケアプロバイダ
ヘルスケアプロバイダは、サイバーセキュリティのインシデントを処理するためのポリ
シー、インシデントを緩和又は解決し、内外の責任関係者に関連情報を開示するための
方法を確立することが望ましい。その一環として、ヘルスケアプロバイダは、脆弱性の
緩和に関する計画とリソース管理について検討することが望ましい。この措置には、イ
ンシデント対応中、必要に応じて代替機器を提供するための費用も含まれる可能性があ
る。
a. ポリシー及び役割
サイバーセキュリティの脆弱性又はインシデントを処理するためのポリシー及び役割は、
ヘルスケアプロバイダの組織にも整備されていることが望ましい。ヘルスケアプロバイ
ダは、MDS2(Manufacturer Disclosure Statement for Medical Device Security:MDS2)、
SBOM、脆弱性及びアップデート情報等の製造業者の開示文書、情報共有機関又は参画
している ISAO からの情報を受領し、広範に共有する方法を確立することが望ましい。
そのためには、情報提供先及び提供元の連絡先リストを定期的に管理・検証する必要が
ある。また、医療機器の納入前に締結し且つ定期的に見直すサービスレベル契約
(Service Level Agreements:SLAs)には、インシデント対応中に製造業者及びその他の
ベンダーが遵守すべき事項を記載しなければならない。ヘルスケアプロバイダは、独自
のインシデント対応チームを設立することが奨励される。
2020/3/18
Page 37 of 51
39/53 ページ