健康・医療医療機器におけるサイバーセキュリティについて
医療機器の基本要件基準を令和5年3月9日に改正し、サイバーセキュリティに関する要求事項が第12条第3項として規定いたしました。
本基準の関連通知や国際医療機器規制当局フォーラム(IMDRF)ガイダンスについて以下に示します。
本基準の関連通知や国際医療機器規制当局フォーラム(IMDRF)ガイダンスについて以下に示します。
基本要件基準第12条第3項
プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。
また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。
| サイバーセキュリティに係る規格について (IEC 81001-5-1:2021) |
スライド | ノート | スライドショー |
|---|---|---|---|
| 医療機器のサイバーセキュリティについて | スライド | ノート | スライドショー |
| 医療機器のサイバーセキュリティ要件に対する JIS T 81001-5-1の適用について | スライド | ノート | スライドショー |
医療機器におけるサイバーセキュリティに関連する通知について
【基本要件基準第12条第3項制定前】
【基本要件基準第12条第3項制定後】
- 医療機器におけるサイバーセキュリティの確保について(平成27年4月28日付薬食機参発0428第1号・薬食安発0428第1号)[116KB]
- 医療機器のサイバーセキュリティの確保に関するガイダンスについて(平成30年7月24日薬食機参発0724第1号、薬食安発0724第1号)[365KB]
- 国際際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)(令和2年5月13日薬生機審発0513第1号・薬生安発0513第1号)[1.1MB]
- 医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)(令和3年6月28日事務連絡)[4.4MB]
- 医療機器のオペレーティングシステムに係る脆弱性への対応について(注意喚起)(令和3年8月23 日事務連絡)[236KB]
- 医療機器等に関するサイバーセキュリティ対策の強化について(要請)(令和4年3月1日事務連絡)[128KB]
【基本要件基準第12条第3項制定後】
- 医療機器の基本要件基準第12条第3項の適用について(令和5年3月31日薬生機審発0331第8号)[155KB]
- 医療機器のサイバーセキュリティ導入に関する手引書の改訂について(令和5年3月31日薬生機審発0331第11号・薬生安発0331第4号)[1.5MB]
- 医療機関における医療機器のサイバーセキュリティ確保のための手引書について(令和5年3月31日医政参発0331第1号・薬生機審発0331第16号・薬生安発0331第8号)[971KB]
- 医療機器の基本要件基準第12条第3項の適合性の確認について(令和5年5月23日薬生機審発0523第1号)[457KB]
- 医療機器の基本要件基準第12条第3項の適用に関する質疑応答集(Q&A)について(令和5年7月20日事務連絡)[436KB]
- 医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について(令和6年1月15日医薬安発0115第2号)[339KB]
- 医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について(令和6年1月31日事務連絡)[634KB]
- 医療機器のサイバーセキュリティを確保するための脆弱性の管理等について(令和6年3月28日薬生機審発0328第1号・薬生安発0328第3号)[222KB]
IMDRFガイダンスについて
| Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び実践) | 2020年4月発行 | |
| Principles and Practices for the Cybersecurity of Legacy Medical Devices(レガシー医療機器のサイバーセキュリティの原則及び実践) | 2023年4月発行 | |
| Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity(医療機器サイバーセキュリティのためのソフトウェア部品表の原則及び実践) | 2023年4月発行 |
Cybersecurity of Medical Device
【CAUTIONS】
These are unofficial translations. Only the original Japanese texts of the laws and regulations have legal effect, and the translations are to be used solely as reference material to aid in the understanding of Japanese laws and regulations.
| Essential Principle |
| (Consideration of medical devices using software) |
| Article 12 |
| 3 For medical devices using software that are used in connection with other devices and networks, etc., or that may be subject to external unauthorized access and attack, etc., appropriate requirements shall be identified, taking into account the operating environment and network use environment of the medical device, the risk related to cybersecurity that may affect the function of the medical device or cause safety concerns shall be identified and evaluated, and risk management shall be conducted to reduce such cyber risks. In addition, such medical devices shall be designed and manufactured based on a plan to ensure cybersecurity throughout the total product life cycle of the medical device. |
【Notifications and Administrative Notices】
- Application of Article 12-3 of Essential Principles for Medical Devices (PSEHB MDED Notification No.0331-8, 2023-03-31)[64KB]
- Confirmation of compliance with Article 12-3 of the Essential Principles for Medical Devices (PSEHB MDED Notification No.0523-1, 2023-05-23)[45KB]
