« Atlantic Council 海事サイバーセキュリティに関する協力 | Main | 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案 »

2021.10.08

厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

こんにちは、丸山満彦です。

厚労省が、「医療機器のサイバーセキュリティ導入に関する手引書(案)」を公表し、意見募集をしていますね。。。

e-Gov

・2021.10.07 医療機器のサイバーセキュリティの確保に関するガイダンス案に関する御意見の募集について

・[PDF] 医療機器のサイバーセキュリティ導入に関する手引書(案) [downloaded]

20211007-235545


背景

我が国においては、「医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35 年法律第 145 号、以下「医薬品医療機器等法」という。)に紐づく「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」(平成 17 3 29 日厚生労働省告示第 122 号。以下「基本要件基準」という。)によって、サイバーセキュリティを含むリスクマネジメントが求められ、使用者に対する情報提供や注意喚起を含めて最新の技術に立脚して医療機器の安全性を確保しなくてはならないこととされている。

具体的には、「医療機器におけるサイバーセキュリティの確保について」(平成 27 年4月 28 日付け薬食機参発 0428 第1号・薬食安発 0428 第1号・厚生労働省大臣官房参事官(医療機器・再生医療等製品審査管理担当)・医薬食品局安全対策課長連名通知)によって、サイバーリスクが懸念される医療機器のうち、少なくとも、無線又は有線により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続が可能な医療機器について、製造販売業者は、不正なアクセス等が想定される医療機器については、サイバーリスクを含む危険性を評価・除去し、防護するリスクマネジメントを行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととしている。また、必要なサイバーセキュリティが確保されていない医療機器については、使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが示されている。

さらに、医療機器のサイバーセキュリティに関する具体的なリスクマネジメント、サイバーセキュリティ対策及び処置の考え方については、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成 30 7 24 日付け薬生機審発 0724 第1号・薬生安発 0724 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)として取りまとめられている。医療機器の使用環境の特定、意図する使用環境におけるサイバーリスクに対するリスクアセスメントの実施、必要な対策、その結果リスクが受容可能になることの説明、サイバーリスクに伴う医療機器の不具合等についても GVP 省令における安全性情報として取り扱い、販売業者・貸与業者や修理業者の協力のもと、医療機関と連携を取り、適切な市販後の安全確保が求められている。

医療機器製品は、複数国に流通する場合が多いこと、国境の枠組みを超えてサイバー攻撃が行われる可能性が高いと考えられていることから、サイバーセキュリティ対応の国際調和を図ることを目的として、国際医療機器規制当局フォーラム(International Medical Device Regulators Forum IMDRF)において、医療機器サイバーセキュリティガイダンス N60Principles and Practices for Medical Device Cybersecurity医療機器サイバーセキュリティの原則及び実践)」(以下「IMDRF ガイダンス」という。)が取りまとめられ、「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)(令和 2 5 13 日付け薬生機審発 0513第1号・薬生安発 0513 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)によって、我が国においても、医療機器製造販売業者に対して IMDRF ガイダンスを導入することが示された。無線、インターネット及びネットワーク接続機器の使用の増加に加え、サイバー攻撃の高度化に伴い、製造販売業者は、市販前には、医療機器のサイバー攻撃に対する耐性が確保されるよう、設計及び開発を行い、市販後には、意図する使用環境における機器の運用、情報共有、脆弱性の修正、インシデントの対応などを適切に行う必要がある。また、医療現場において適正な管理がなされるよう、製造販売業者は、医療機関、使用者(以下ユーザーという。)、規制当局及び脆弱性発見者等のステークホルダーと必要な情報共有等を行い積極的に連携していくことが求められている。

なお、この文書は IMDRF における検討の動向に沿って、適宜改訂又は追補等が行われることに留意されたい。

医療機関等の医療情報システムに関しては、厚生労働省から「医療情報システムの安全管理に関するガイドライン」(第 1 版が平成 17 3 月に示され、情勢に応じた改定が随時行われ、令和 3 1 月第 5.1版に至っている。以下「安全管理ガイドライン」という。)が発出されている。情報セキュリティの対策は、この文書に示したものに限らず、安全管理ガイドライン及び情報セキュリティマネジメントシステム(ISMS)の実践等によって適切な対策を取るべきことに十分留意することが必要である。

この文書は、IMDRF ガイダンスの内容を基本としているが、AMED 医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」(研究開発代表者:公益財団法人医療機器センター専務理事 中野壮陛)」における検討内容を踏まえ、我が国の状況にあわせて必要な編纂をしている。なお、医療機関における医療機器のサイバーセキュリティに係る対応については、当該事業の検討結果を基に別途、取りまとめられる予定である。


 

章立て


背景

1. 目的

2. 適用範囲

3. 用語及び参考定義

4. 一般原則

5. 市販前の考慮事項
5.1. セキュリティ要求事項及びアーキテクチャ設計
5.2. TPLC に関するリスクマネジメント原則
5.3. セキュリティ試験
5.4. TPLC サイバーセキュリティマネジメント計画
5.5. 顧客向け文書
 5.5.1. 注意事項等情報及び取扱説明書
 5.5.2. 顧客向けセキュリティ文書
5.6. 規制当局への申請に関する文書

6. 市販後の考慮事項
6.1. 意図する使用環境における機器の運用
6.2. 情報共有
6.3. 協調的な脆弱性の開示(CVD)
6.4. 脆弱性の修正
6.5. インシデントへの対応
6.6. レガシー医療機器
 6.6.1. TPLC とレガシー状態
 6.6.2. TPLC における考慮事項
  6.6.2.1 設計・開発期間
  6.6.2.2 サポート期間
  6.6.2.3 限定的サポート期間
  6.6.2.4 サポート終了(EOS)


 

ベースとなるIMDRF文書

International Medical Device Regulators Forum: IMDRF

・MDRF/CYBER WG/N60FINAL:2020 Principles and Practices for Medical Device Cybersecurity [PDF]  [DOCX]

日本語版

20211008-00523


1.0 はじめに

2.0 適用範囲

3.0 定義

4.0 一般原則
 4.1 国際整合
 4.2 製品ライフサイクルの全体
 4.3 共同責任
 4.4 情報共有

5.0 医療機器サイバーセキュリティの市販前考慮事項
 5.1 セキュリティ要求事項及びアーキテクチャ設計
 5.2   TPLC に関するリスクマネジメント原則
 5.3 セキュリティ試験
 5.4   TPLC サイバーセキュリティマネジメント計画
 5.5 ラベリング及び顧客向けセキュリティ文書
  5.5.1 ラベリング
  5.5.2 顧客向けセキュリティ文書
 5.6 規制当局への申請に関する文書
  5.6.1 設計文書
  5.6.2 リスクマネジメント文書
  5.6.3 セキュリティ試験の文書
  5.6.4 TPLC サイバーセキュリティマネジメント計画に関する文書
  5.6.5 ラベリング及び顧客向けセキュリティ文書

6.0 医療機器サイバーセキュリティの市販後考慮事項
 6.1 意図する使用環境における機器の運用
  6.1.1 ヘルスケアプロバイダ及び患者
  6.1.2 医療機器製造業者
 6.2 情報共有
  6.2.1 重要原則
  6.2.2 重要な責任関係者
  6.2.3 情報の種類
  6.2.4 信頼できるコミュニケーション
 6.3 協調的な脆弱性の開示
  6.3.1 医療機器製造業者
  6.3.2 規制当局
  6.3.3 脆弱性の発見者(セキュリティ研究者及びその他の脆弱性発見者を含む)
 6.4 脆弱性の修正
  6.4.1 医療機器製造業者
  6.4.2 ヘルスケアプロバイダ及び患者
  6.4.3 規制当局
 6.5 インシデントへの対応
  6.5.1 医療機器製造業者
  6.5.2 ヘルスケアプロバイダ
  6.5.3 規制当局
 6.6 レガシー医療機器
  6.6.1 医療機器製造業者
  6.6.2 ヘルスケアプロバイダ

7.0 参考文献
 7.1   IMDRF 文書
 7.2 規格
 7.3 規制当局のガイダンス
 7.4 その他の資料及び参考文献

8.0 附属書
 8.1 附属書 A: インシデント対応の役割(ISO/IEC 27035 から引用)
 8.2 附属書 B: 協調的な脆弱性の開示に関する各地域のリソース


 

まるちゃんの情報セキュリティ気まぐれ日記 

「医療機器」に関連...

・2021.09.02 NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減

・2021.07.03 米国 保健福祉省 内部監査:病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分 at 2021.06.21

・2021.04.04 日医総研 医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究

・2021.03.06 経団連 「プログラムの医療機器該当性に関するガイドライン」(案)に対する意見

・2021.02.16 欧州委員会 健康データとGDPRに関する加盟国の規則についての調査結果を公開

・2021.02.05 厚生労働省 意見募集 プログラムの医療機器該当性に関するガイドライン

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

10年以上遡ると...

・2010.07.19 厚生労働省 パブコメ  医薬品・医薬部外品製造販売業者等におけるコンピュータ化システム適正管理ガイドライン(案)

・2008.04.03 画像医療システムのセキュリティ


医療情報

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

|

« Atlantic Council 海事サイバーセキュリティに関する協力 | Main | 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案 »

Comments

Post a comment



(Not displayed with comment.)




« Atlantic Council 海事サイバーセキュリティに関する協力 | Main | 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案 »