デジタルヘルス

医療機器におけるサイバーセキュリティの確保について(平成27年4月28日)

薬食機参発0428 第1号
薬食安発0428 第1 号
平成2 7 年4 月2 8 日
各都道府県衛生主管部(局)長 殿
厚生労働省大臣官房参事官
(医療機器・再生医療等製品審査管理担当)
( 公印省略)
厚生労働省医薬食品局安全対策課長
( 公印省略)

医療機器におけるサイバーセキュリティの確保について

平成26 年5月に公表された「重要インフラの情報セキュリティ対策に係る第3次行動計画」(情報セキュリティ政策会議)1)では、重要インフラ分野である医療において、医療機関(小規模なものを除く。)が重要インフラ事業者とされています。その重要システム例として、電子カルテシステムとともに、医用電気機器等が挙げられ、安全基準の整備浸透、リスクマネジメント等の施策を通じて、防護対策の強化に取り組むことが必要とされていることから、厚生労働省では、医療機関に対して、「医療情報システムの安全管理に関するガイドライン」(第4.2 版、平成25 年10 月)2)の中で、医療に関わる情報を扱う全ての情報システムについて、不正ソフトウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティ対策も含めた技術的安全対策等を実施するよう求めているところです。

医療機器については、医療機関内で使用されるもののほか、医療機関外においてもネットワーク等を利用した使用環境で用いられることを意図しているものもあり、昨今、医療機器のサイバーセキュリティの重要性が指摘されていることから、製造販売業者は医療機器の安全な使用を確保するために、サイバーセキュリティに関するリスク(以下「サイバーリスク」という。)に対しても適切なリスクマネジメントにより対策を実施する必要があります。

そのような状況に鑑み、医療機器のサイバーセキュリティの確保に関して、下記の事項に留意し、必要な対応を行うよう、貴管下関係業者等に周知方お願いいたします。

なお、厚生労働省において、医療機器のサイバーセキュリティの確保に関するガイドライン等について、今後検討することを申し添えます。

【参考】

  1. 重要インフラの情報セキュリティ対策に係る第3次行動計画(情報セキュリティ政策会議)(http://www.nisc.go.jp/active/infra/pdf/infra_rt3.pdf)
  2. 医療情報システムの安全管理に関するガイドライン(第4.2 版、厚生労働省)(http://www.mhlw.go.jp/stf/shingi/0000026088.html)

1.基本的考え方

製造販売業者はサイバーリスクが懸念される医療機器について、サイバーセキュリティを確保する必要があり、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35 年法律第145 号)第41 条第3項に基づく基本要件基準(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準(平成17 年厚生労働省告示第122 号))に基づき、サイバーリスクについても既知又は予見し得る危害としてこれを識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価し、合理的に実行可能な限り除去することが求められる。サイバーリスクが懸念される医療機器の開発に当たっては、リスクマネジメントとして必要な対策を実施し、サイバーセキュリティを確保すること、また、既に製造販売を行っている医療機器に関しても、同様にサイバーセキュリティを確保することが必要である。

2.具体的な対策について

サイバーリスクが懸念される医療機器のうち、少なくとも、無線又は有線により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又はUSB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続が可能な医療機器について、製造販売業者は下記を踏まえて必要な措置を行うこと。

① 他の機器・ネットワーク等と接続して使用する又は他からの不正なアクセス等が想定される医療機器については、当該医療機器で想定されるネットワーク使用環境等を踏まえてサイバーリスクを含む危険性を評価・除去し、防護するリスクマネジメントを行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこと。
具体的には、当該医療機器と接続できる範囲を限定する、使用するソフトウェア等は製造販売業者が信頼性を認めたものに限定するなどのような対策が考えられる。

② ①の必要なサイバーセキュリティの確保がなされていない医療機器については、使用者に対してその旨を明示し、他との接続を行わない又は接続できない設定とするよう必要な注意喚起を行うこと。

③ 「医療情報システムの安全管理に関するガイドライン」を踏まえ、医療機関における不正ソフトウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティの確保が適切に実施されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ること。

以上

参照

-デジタルヘルス

© 2021 Real-World Data/Evidence website