よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (63 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
b. 役割毎のトレーニング
それぞれの関連する役割をトレーニングするための要求事項を確立し、更新の要否を定
期的に見直すことが望ましい。サイバーセキュリティインシデントを評価する専門家は、
実務経験に加えて、デジタル機器に残る記録を収集・解析し、法的な証拠性を明らかに
するフォレンジック分析のトレーニングを受けることが望ましい。インシデント対応プ
ロセスに関与する人員は、実務経験に加えて、インシデント対応のプロセス及び理論に
関するトレーニングを受けることが望ましい。トレーニングプロセスは定期的に評価す
ることが望ましく、その一環として、インシデント対応演習が行われる可能性がある。
c. 分析及び対応
ヘルスケアプロバイダは、調査結果を記載した報告書の提供を通じて、インシデント又
は報告された脆弱性の影響を評価し、医療機器製造業者等の責任関係者と協力して対応
することが望ましい。問題解決にあたり作業が必要な場合は、調査の状況及び日程を結
果に含めることが望ましい。ヘルスケアプロバイダは、ベストプラクティス及び緩和策
を含む安全関連情報を患者に周知することが望ましい。解決策に修正が含まれている場
合は、その修正を施設全体に適用する前に、対象となる既存システムの機能が影響を受
けないことを保証するためにレグレッション試験等のバリデーションを実施しなければ
ならない。ヘルスケアプロバイダは、修正及び緩和策の情報を必要に応じて更新するこ
とが望ましい。
6.5.3
規制当局
医療機器のサイバーセキュリティインシデントとその対応には、規制当局も関与するこ
とが望ましい。6.5.1 項に記載したとおり、製造業者は、サイバーセキュリティのイン
シデントを規制当局が認識し、規制方針の決定に必要な詳細情報を規制当局が要求し、
必要に応じて追加措置を実施できる環境を整備するため、インシデントについて規制当
局に通知することが望ましい。必要に応じて規制当局が実施する追加措置としては、患
者安全に対する影響評価、製造業者が提示した緩和策のリスク・ベネフィット評価、サ
イバーセキュリティ研究者等を含む責任関係者及びその他の政府機関や規制当局との連
携等が挙げられる。
6.6
レガシー医療機器
本文書では、現在のサイバーセキュリティの脅威に対してアップデート又は補完的対策
等の合理的な手段で保護できない医療機器を「レガシー医療機器」と定義する。現在使
用されている多くのレガシー医療機器は、初期設計及び保守においてサイバーセキュリ
ティについて検討されていなかった可能性があり、国際的なヘルスケアエコシステムに
とって特に複雑な課題となっている。医療機器のデジタル化に伴って、古いアナログ装
置では決して実現できなかった様々な機能が開発されてきた。そのため、これらの医療
機器については、その臨床的有用性がセキュリティ対応のサポート期間を超えることが
多いことが問題を更に悪化させている。このような技術は患者ケアにとって有益である
が、ソフトウェア、ハードウェア及びネットワーク接続を組み合わせた使用に伴い、医
2020/3/18
Page 38 of 51
40/53 ページ
b. 役割毎のトレーニング
それぞれの関連する役割をトレーニングするための要求事項を確立し、更新の要否を定
期的に見直すことが望ましい。サイバーセキュリティインシデントを評価する専門家は、
実務経験に加えて、デジタル機器に残る記録を収集・解析し、法的な証拠性を明らかに
するフォレンジック分析のトレーニングを受けることが望ましい。インシデント対応プ
ロセスに関与する人員は、実務経験に加えて、インシデント対応のプロセス及び理論に
関するトレーニングを受けることが望ましい。トレーニングプロセスは定期的に評価す
ることが望ましく、その一環として、インシデント対応演習が行われる可能性がある。
c. 分析及び対応
ヘルスケアプロバイダは、調査結果を記載した報告書の提供を通じて、インシデント又
は報告された脆弱性の影響を評価し、医療機器製造業者等の責任関係者と協力して対応
することが望ましい。問題解決にあたり作業が必要な場合は、調査の状況及び日程を結
果に含めることが望ましい。ヘルスケアプロバイダは、ベストプラクティス及び緩和策
を含む安全関連情報を患者に周知することが望ましい。解決策に修正が含まれている場
合は、その修正を施設全体に適用する前に、対象となる既存システムの機能が影響を受
けないことを保証するためにレグレッション試験等のバリデーションを実施しなければ
ならない。ヘルスケアプロバイダは、修正及び緩和策の情報を必要に応じて更新するこ
とが望ましい。
6.5.3
規制当局
医療機器のサイバーセキュリティインシデントとその対応には、規制当局も関与するこ
とが望ましい。6.5.1 項に記載したとおり、製造業者は、サイバーセキュリティのイン
シデントを規制当局が認識し、規制方針の決定に必要な詳細情報を規制当局が要求し、
必要に応じて追加措置を実施できる環境を整備するため、インシデントについて規制当
局に通知することが望ましい。必要に応じて規制当局が実施する追加措置としては、患
者安全に対する影響評価、製造業者が提示した緩和策のリスク・ベネフィット評価、サ
イバーセキュリティ研究者等を含む責任関係者及びその他の政府機関や規制当局との連
携等が挙げられる。
6.6
レガシー医療機器
本文書では、現在のサイバーセキュリティの脅威に対してアップデート又は補完的対策
等の合理的な手段で保護できない医療機器を「レガシー医療機器」と定義する。現在使
用されている多くのレガシー医療機器は、初期設計及び保守においてサイバーセキュリ
ティについて検討されていなかった可能性があり、国際的なヘルスケアエコシステムに
とって特に複雑な課題となっている。医療機器のデジタル化に伴って、古いアナログ装
置では決して実現できなかった様々な機能が開発されてきた。そのため、これらの医療
機器については、その臨床的有用性がセキュリティ対応のサポート期間を超えることが
多いことが問題を更に悪化させている。このような技術は患者ケアにとって有益である
が、ソフトウェア、ハードウェア及びネットワーク接続を組み合わせた使用に伴い、医
2020/3/18
Page 38 of 51
40/53 ページ