(公印省略)

今般、IMDRFガイダンスの発行等の国際的な枠組みでの活動を踏まえて、旧ガイダンスを置き換え、医療機器へのサイバー攻撃に対する国際的な耐性基準等の技術要件を我が国へ導入して整備することを目的に、国立研究開発法人日本医療研究開発機構医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」及び一般社団法人日本医療機器産業連合会において、医療機器のサイバーセキュリティに係る必要な開発目標及び技術要件等を検討し、別添のとおり、「医療機器のサイバーセキュリティ導入に関する手引書」として取りまとめましたので情報提供します。

今後、我が国においては、国境を超えて行われる医療機器に対するサイバー攻撃への対策を一層強化して医療現場における安全性を確保するため、医療機器のサイバーセキュリティに係る開発目標及び評価基準を策定し、令和5年を目途に「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」(平成17年厚生労働省告示第122号)等の所要の改正を行い、許認可等において医療機器のサイバーセキュリティ対応を確認することができる体制を構築する予定です。

つきましては、医療機器のサイバーセキュリティの更なる確保に向けた医療機器製造販売業者等の体制確保を円滑に行えるよう、貴管下関係製造販売業者等に対する周知及び体制確保に向けた指導等よろしくお願いします。

医療機器のサイバーセキュリティ導入に関する手引書

背景

我が国においては、医療機器の製造販売を規制する「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和35年法律第145号。以下「医薬品医療機器等法」という。)に紐づく「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」(平成17年厚生労働省告示第122号。以下「基本要件基準」という。)によって、サイバーセキュリティを含むリスクマネジメントが求められ、使用者に対する情報提供や注意喚起を含めて最新の技術に立脚して医療機器の安全性を確保しなくてはならないこととされている。

具体的には、「医療機器におけるサイバーセキュリティの確保について」(平成27年4月28日付け薬食機参発0428第1号・薬食安発0428第1号・厚生労働省大臣官房参事官(医療機器・再生医療等製品審査管理担当)・医薬食品局安全対策課長連名通知)によって、サイバーリスクが懸念される医療機器のうち、少なくとも、無線又は有線により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又はUSBメモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続が可能な医療機器について、製造販売業者は、不正なアクセス等が想定される医療機器については、サイバーリスクを含む危険性を評価・除去し、防護するリスクマネジメントを行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととしている。また、必要なサイバーセキュリティが確保されていない医療機器については、使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが示されている。

さらに、医療機器のサイバーセキュリティに関する具体的なリスクマネジメント、サイバーセキュリティ対策及び処置の考え方については、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成30年7月24日付け薬生機審発0724第1号・薬生安発0724第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)として取りまとめられている。医療機器の使用環境の特定、意図する使用環境におけるサイバーリスクに対するリスクアセスメントの実施、必要な対策、その結果リスクが受容可能になることの説明、サイバーリスクに伴う医療機器の不具合等についてもGVP省令における安全性情報として取り扱い、販売業者・貸与業者や修理業者の協力のもと、医療機関と連携を取り、適切な市販後の安全確保が求められている。

医療機器製品は、複数国に流通する場合が多いこと、国境の枠組みを超えてサイバー攻撃が行われる可能性が高いと考えられていることから、サイバーセキュリティ対応の国際調和を図ることを目的として、国際医療機器規制当局フォーラム(International Medical Device Regulators Forum：IMDRF)において、医療機器サイバーセキュリティガイダンスN60「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティの原則及び実践)」(以下「IMDRFガイダンス」という。)が取りまとめられ、「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」(令和2年5月13日付け薬生機審発0513第1号・薬生安発0513第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)によって、我が国においても、医療機器製造販売業者に対してIMDRFガイダンスを導入することが示された。無線、インターネット及びネットワーク接続機器の使用の増加に加え、サイバー攻撃の高度化に伴い、製造販売業者は、市販前には、医療機器のサイバー攻撃に対する耐性が確保されるよう、設計及び開発を行い、市販後には、意図する使用環境における機器の運用、情報共有、脆弱性の修正、インシデントの対応などを適切に行う必要がある。また、医療現場において適正な管理がなされるよう、製造販売業者は、医療機関、使用者(以下ユーザーという。)、規制当局及び脆弱性発見者等のステークホルダーと必要な情報共有等を行い積極的に連携していくことが求められている。

なお、この文書はIMDRFにおける検討の動向に沿って、適宜改訂又は追補等が行われることに留意されたい。

医療機関等の医療情報システムに関しては、厚生労働省から「医療情報システムの安全管理に関するガイドライン」(第1版が平成17年3月に示され、情勢に応じた改定が随時行われ、令和3年1月第5.1版に至っている。以下「安全管理ガイドライン」という。)が発出されている。情報セキュリティの対策は、この文書に示したものに限らず、安全管理ガイドライン及び情報セキュリティマネジメントシステム(ISMS)の実践等によって適切な対策を取るべきことに十分留意することが必要である。

この文書は、IMDRFガイダンスの内容を基本としているが、AMED医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」(研究開発代表者：公益財団法人医療機器センター専務理事　中野壮陛)」における検討内容を踏まえ、我が国の状況にあわせて必要な編纂をしている。なお、医療機関における医療機器のサイバーセキュリティに係る対応については、当該事業の検討結果を基に別途、取りまとめられる予定である。

1．目的

この文書は、国際的な規制調和の観点及び国境の枠組みを超えて医療機器のサイバーセキュリティに係る安全性を向上させる観点から策定されたIMDRFガイダンスの要求事項を踏まえ、医薬品医療機器等法を遵守し、医療機器の品質、有効性及び安全性を確保するために、製造販売業者が、本邦の医療機器に対して導入するための対応及び組織的な取組みを行うための情報を提供する。これによって製造販売業者が適切な対応を実施し、その結果、製品ライフサイクル全体(Total Product Life Cycle、以下「TPLC」という。)を通じサイバーセキュリティに関するリスクを低減し、医療機器製品の安全性と基本性能を確保することで、患者への危害の発生及び拡大の防止に繋げる。

2．適用範囲

この文書は、無線又は有線により、メディア媒体を含む他の機器、ネットワーク等との接続が可能なプログラムを用いた医療機器(ソフトウェア単独で医療機器となる医療機器プログラム(Software as a Medical Device：SaMD)を含む)及びプログラムを用いた附属品等に関するサイバーセキュリティを対象とする。適用の要否は、医療機器のクラス分類(Ⅰ～Ⅳ)だけで判断すべきではなく、意図する使用環境、サイバーリスクに応じた危害等を考慮したリスクベースアプローチによって判断する。また、次のような患者又はユーザーへの危害が発生する可能性のあるサイバーセキュリティリスクに限定する。

・　製品の性能に影響を与える

・　臨床活動に影響を与える

・　誤った診断、治療又は予防に繋がる

なお、医療機器が疾病の診断、治療、予防等に供することを考慮し、この文書では医療機器のユーザー等への危害の防止の観点からサイバーリスクへの対応をまとめている。一方、医療機器は患者等の個人情報等を扱う医療情報システムの一部としてもみなされるため、データプライバシー等の情報セキュリティに係るリスクへの対応も実施される必要があるが、この文書の適用範囲ではない。情報セキュリティに係る対策については、別途安全管理ガイドライン等を参照する。また、製造販売業者の一般的な企業活動に関するサイバーセキュリティ対応についてもこの文書の適用範囲から除外しているため、医療機器の製造販売業者は、一般的な個人情報の漏洩等の危害についても十分な対応をすることが社会的に求められていることに留意すべきである。

3．用語及び参考定義

この文書で使用する用語及びその参考定義を、末尾に示している。

4．一般原則

医療機器・システムだけでなく、高度化・複雑化した世界中のヘルスITシステムにおける患者の安全性を確保する上で、我が国の医療機器においても、TPLCに渡ったサイバーセキュリティ対応の国際的な調和を図る。

製造販売業者は、広く知られている米国国立標準技術研究所(NIST)サイバーセキュリティフレームワークだけでなく、例えば、医療機器・ヘルスIT共同セキュリティ計画(Joint Security Plan)のベストプラクティス等を利用して、設計・開発の段階においてセキュリティを計画・実現し、次を実施する。

・　顧客向け文書

・　規制当局への申請

・　苦情処理

・　脆弱性修正

・　インシデント対応

・　医療機関等のステークホルダーとの継続的な情報共有及び連携

このためには、次が必要である。

・　製品のセキュリティポリシー設定

・　セキュリティの定量的評価、反復試験、侵入試験等の能力向上

・　これらを支えるPSIRT(Product Security Incident Response Team)等の製品セキュリティ体制の構築

・　一連のサイバーセキュリティのベースラインとなる活動を定め、QMSの中に定着させる取組み

製造販売業者は、国際整合化の背景及び「共同責任(Shared Responsibility)」における自らの責任を理解し、サイバーセキュリティベースラインを構築した上で、医療機関、ユーザー、規制当局及び脆弱性発見者等のステークホルダーと連携可能な体制を整備する。

サイバーセキュリティに関する情報の共有は、安全でセキュアな医療機器を実現するためのTPLCアプローチの原則である。遅滞なく情報が共有されることによって、製造販売業者が脅威を特定し、関連するリスクを評価し、それに適宜対応するための能力が最大化する。製造販売業者は、医療機器及び接続するヘルスケアインフラの安全性、性能、完全性及びセキュリティに影響し得るサイバーセキュリティのインシデント、脅威及び脆弱性に対する協力及びコミュニケーションを強化するため、情報共有分析機関(Information Sharing Analysis Organizations：以下「ISAO」という。)等に積極的に参加することが推奨される。

5．市販前の考慮事項

医療機器のサイバーセキュリティは、TPLCに渡って検討する。医療機器の市販前の設計・開発段階において、製造販売業者は、次を実施する。

・　セキュリティ機能の製品への組込み

・　最新の技術に基づくリスクマネジメント手法の適用

・　セキュリティ試験

・　医療機器をセキュアに運用するためのユーザーに対する情報提供の準備

・　市販後活動のための計画の立案

製造販売業者は、これらの市販前の要素を検討する際、医療機器の意図する使用環境に加え、合理的に予見可能な誤使用のシナリオを充分に評価する。

5．1．セキュリティ要求事項及びアーキテクチャ設計

製造販売業者は、積極的な市販後活動だけでなく、アーキテクチャ設計において、脅威モデリング等を用いた脅威分析を行うことによって、第三者による攻撃、脆弱性の悪用可能性を充分に評価する。これによって、製品を保護すべき信頼境界及び攻撃対象領域(アタックサーフェイスともいう)をシステム構成(アーキテクチャ)図において特定し、製品の特質、意図する使用及び使用環境に対して組み込む設計原則及び要求事項を適切に定める。この際、自社製品の設計の範囲で考慮することが重要である。この検討に用いたシステム構成図は顧客向け文書に記載する。このセキュリティに関する設計原則及び要求事項は、後述のMDS2(Manufacturer Disclosure Statement for Medical Device Security)のセキュリティ機能に対応付けて検討するとよい。

製造販売業者が自社製品の設計で考慮することが望ましい設計原則を表1に示す。ただし、表1は完全なリストを意味するものではなく、あくまでも例示である。

表1．医療機器の設計における検討事項に対する設計原則

5．2．TPLCに関するリスクマネジメント原則

製造販売業者は、サイバーセキュリティについてもJIS T 14971：2020及びTR T 24971：2020によって最新の技術に基づくリスクマネジメントをTPLCに渡って実施し、必要な対策を行い、その結果、重大な脆弱性がなくリスクが受容可能になることを、許認可の際には規制当局へ、市販後にはユーザー又は規制当局等へ説明する。リスクマネジメントプロセスの一環として以下のステップを踏むことが望ましい。

・　サイバーセキュリティに関する脆弱性の特定

・　関連するリスクの推定及び評価

・　リスクを受容可能なレベルまで低減するリスクコントロールの採用

・　リスクコントロールの有効性の評価・監視

・　協調的な情報開示を通じ、リスクに関するユーザー等への情報の提供

・　一連の活動の文書化

セキュリティの脆弱性の評価に関しては、共通脆弱性スコアリングシステム(Common Vulnerability Scoring System：CVSS)等の広く採用されている脆弱性スコアリングシステムを採用して透明性を確保し分析・評価を行う。この際、一般の情報セキュリティにおける使用を想定したCVSSスコア(基本値、現状値)は、医療機器として臨床環境や患者安全への影響へ置き換えるため、再評価をする必要がある。再評価については、例えばMITRE社が策定した医療機器向けのガイド(MITRE Rubric for Applying CVSS to Medical Devices)があるので参考にできる。

5．3．セキュリティ試験

製造販売業者は、設計・開発の検証及びバリデーション段階において、様々な種類のセキュリティ試験を採用することによって、セキュリティコントロールが効果的に実施されていることを証明するとともに、セキュリティの対応状況を評価することによって、既知の脆弱性(少なくとも重大(「致命的(Critical)」又は「ハイリスク」)と判定された脆弱性)がコードに含まれていないことを証明する必要がある。この際、静的コード解析、動的解析、堅牢性試験、ソフトウェアコンポジション解析、ファジング等の一般的セキュリティ試験に加えて、脆弱性スキャンとも呼ばれるSTIGs(Security Technical Implementation Guides)基準の達成度の確認又はCIS(Center for Internet Security)ベンチマーク等のセキュリティアセスメントツールを利用した定量的セキュリティ評価等を利用して可視化する活動が有効である。セキュリティの対応状況を客観的に評価する活動は、市販前に実施し、その結果を設計のインプットに反映し、文書化するだけでなく、市販後においても繰り返し評価を実施し、その結果を文書化する必要がある。当該試験では、医療機器が使用される状況及び医療機器が他の機器・ネットワーク等に接続される環境を考慮すること。この定量的セキュリティ評価の結果は、後述のソフトウェア部品表(Software Bill of Materials：以下「SBOM」)に記載されているソフトウェアに存在する脆弱性への対応状況を確認するためにも利用可能である。

ただし、製品に導入したソフトウェアに駆除できない既知の脆弱性が存在した場合、それが如何なる手段を持っても悪用されないという妥当な証拠があれば、これを設計文書に記載し、説明可能とする。

意図する使用及び予見可能な誤使用に起因する危険性を評価し、合理的に実行可能な限り除去した上でもなお、脆弱性が悪用された場合に予見可能な患者安全に対する影響が大きい製品は、侵入試験を実施する場合もある。これらの試験について、経済産業省が策定した「情報セキュリティサービス基準」に適合したと認められた事業者の脆弱性診断サービス(IPA提供)や同省に登録された登録認証機関による第三者試験も利用可能である。

5．4．TPLCサイバーセキュリティマネジメント計画

製造販売業者は、製品のセキュリティポリシーとして、次の事項を規定し、市販前の段階で具体化して計画し、必要なプロセス及び組織を確立・維持する。

・　TPLCを通じた脆弱性の監視

・　脆弱性の開示：脆弱性発見者からの情報を集約した上で、緩和及び修正策を開発し、脆弱性の存在及び緩和又は修正方法をステークホルダーに開示するための正式なプロセス

・　アップデート及び脆弱性の修正：医療機器の安全性及び性能を継続的に維持するための、定期的な、若しくは特定された脆弱性に対するソフトウェアのアップデート又は修正作業の実施

・　重要データや患者情報のバックアップ：製造販売業者及びユーザーが、バックアップを実施するための機能及び手順

・　復旧：製造販売業者、ユーザーのいずれか又は両者が、サイバーセキュリティのインシデント後に、医療機器を通常の運用状態に戻すための機能及び手順

・　情報共有：セキュリティの脅威及び脆弱性に関する更新した情報を共有する組織(ISAO等)への参加が望ましい。

・　製品寿命の開示：製品のセキュリティポリシーにしたがって、具体的な計画及び手順書を取扱説明書等の顧客向け文書として整備する(図1)。例えば、医療機器の製品寿命終了(End of Life：以下EOL)を上市してから10年後と計画する場合、使用する汎用OSなどソフトウェア汎用部品のEOLがこれより先行することも多い。このような場合、製造販売業者は、世代の異なる部品の使用(例えば、エディションの異なるOSの使用)又は部品の切替え(例えば、サポート終了までの間にOSを変更する)を含むアップデートなどを市販前に計画し、顧客又は規制当局に開示できるようにする。

5．5．顧客向け文書

5．5．1．注意事項等情報及び取扱説明書

注意事項等情報及び取扱説明書には、関連するサイバーセキュリティリスクを考慮して該当するセキュリティ情報をエンドユーザーに伝達するために、次に係る医療機器の適正な使用のために必要な情報を含める。

・　意図する使用環境、ユーザーの遵守事項(概要)、要求された環境外で使用した場合のリスク等

・　サイバーセキュリティに関連する問合せ窓口及びサイバーセキュリティに関連するサービスの照会先

・　アンチマルウェアソフトウェア、システムログ管理設定、ネットワーク接続設定、ファイアウォールの使用等、意図する使用環境に適した推奨されるサイバーセキュリティコントロールに関連する医療機器の使用方法及び製品仕様

・　正常な機能を回復するためのバックアップ並びに復元の機能及び手順の説明

・　データを送受信するネットワークポート及びその他のインタフェースのリスト並びにポート機能、着信・発信ポートの説明。但し、未使用ポートは無効化することに留意する。

・　エンドユーザー向けのシステム構成図

・　ファイアウォールなど補完的対策に関連する装置の設置・設定に関する情報

注記　問い合わせ先を注意事項等情報に記載し、それ以外の情報については製造販売業者の責任に基づき、注意事項等情報又は取扱説明書へ記載する。

5．5．2．顧客向けセキュリティ文書

顧客向けの文書として、注意事項等情報及び取扱説明書に加えて、製造販売業者が提供する医療機器のインストール及び設定に係る技術文書、並びに運用環境のための技術的要求事項などがあり、次を含む。

・　意図したとおりの医療機器の動作を確保するための、医療機器周辺の一般IT機器等の支援インフラの要求事項に関するユーザーへの具体的なガイダンス

・　セキュアな設定を用いた機器の強化あるいは強化可能性に関する説明(セキュアな設定には、マルウェア対策、ファイアウォール／ファイアウォールルール、ホワイトリスト、セキュリティイベントパラメーター、ロギングパラメーター、物理的セキュリティ検出等のエンドポイント保護が含まれる。)

・　必要に応じて、セキュアなネットワーク接続の展開及びサービスを可能にするための技術的指示

・　サイバーセキュリティ脆弱性又はインシデントが検知された際の対応方法に関するユーザーへの指示

・　医療機器に係るセキュリティ事象が検出された場合に、医療機器又は支援システムがユーザーに異常を通知する方法に関する説明。なお、セキュリティ事象の種類としては、設定変更、ネットワーク異常、ログイン試行、未知のエンティティに対する要求送信等の異常トラフィックが挙げられる。

・　必要に応じて、認証された特権ユーザーが、医療機器の設定を保存し、回復するための方法の説明

・　許可されたユーザーが、製造販売業からアップデートをダウンロードしてインストールするための体系的な手順の説明

・　医療機器のサポート終了に関する情報(6．6「レガシー医療機器」参照)

・　医療機器製品に実装されているオープンソース及び市販のソフトウェア部品(製品コンポーネント)の透明性を確保するためのSBOM

なお、SBOMは、患者を含む医療機器のユーザーが、その資産を効果的に管理し、医療機器及び接続されるシステムに対して識別された脆弱性の潜在的影響を理解し、医療機器の安全性及び性能を維持するための対応を可能にするものとして位置づけられる。

・　医療機器の意図する使用及び使用環境に対して設計したセキュリティ機能を俯瞰可能な、製造販売業者による医療機器セキュリティ開示書(Manufacturer Disclosure Statement for Medical Device Security：以下MDS2という。)

注記　SBOM及びMDS2は、医療機器のセキュリティ設計及びリスクマネジメント計画を踏まえたTPLCに関する網羅的な顧客向け文書となる。SBOM及びMDS2は、製品導入の検討にあたって開示を求められる場合もある。

製造販売業者は、医療機器のリスクマネジメントのインプットとして、意図する使用環境だけでなく、合理的に予見可能な実使用環境を考慮した上で、患者やユーザーのフィードバックを反映させながら、医療機器製品の注意事項等情報、取扱説明書及び顧客向けセキュリティ文書を更新し、拡充する。さらに、在宅医療機器等、患者自身が操作することを意図している医療機器については、通常の使用方法に加えて、基本的なサイバーセキュリティに関するトレーニングを患者に対しても行うことが求められるので、製造販売業者は、これを支援できるレベルの情報提供が必要となる。

5．6．規制当局への申請に関する文書

製造販売業者は、規制当局への申請に際し、申請予定の医療機器に関するサイバーセキュリティの対応状況に関して、リスクマネジメント活動に基づき、次の文書を提出することとなるが、具体的には関係法令等に従う。

・　セキュリティに関連する設計文書

・　セキュリティに関するリスクマネジメント文書

・　セキュリティ試験の文書

・　TPLCサイバーセキュリティマネジメント計画に関する文書

・　注意事項等情報、取扱説明書及び顧客向けセキュリティ文書

6．市販後の考慮事項

医療機器に対するサイバー攻撃及び脆弱性の影響は、時間経過に伴って変化する。医療機器の脆弱性評価に利用するCVSSスコアが継続的なアセスメントの過程で小さくなる(影響が少ないと判断される)こともあれば、逆に容易に悪用される可能性が高いことが判明することもある。つまり市販前の設計段階で実施したセキュリティ対応では、リスクが受容可能な状態を適切に維持できない場合がある。このため、製造販売業者は、医療機器のサイバーセキュリティに係る対応として、医薬品医療機器等法に基づく不具合報告(サイバーセキュリティ上の脆弱性に起因する健康被害の発生のおそれのある事象に係る報告も含む)その他の市販後安全対策を実施する他、IPA(独立行政法人情報処理推進機構)その他のサイバーセキュリティに関係する行政機関への報告を行うことに加え、ISAO、CERT(Computer Emergency Response Team)、脆弱性発見者等を含めた製品ライフサイクルの市販後プロセスに関与する全てのステークホルダーと連携したアプローチ(6．1～6．6)を行う。

6．1．意図する使用環境における機器の運用

医療機関は、安全管理ガイドラインにより、医療機器が接続される施設のITインフラを開発し、サイバーセキュリティを確保するために、リスクマネジメントシステムの採用に加え、全体的なセキュリティ体制の構築を義務付けられている。このため、製造販売業者は、自らの責任範囲を明確にして、医療機関におけるサイバーセキュリティを確保するために、医療機器を医療機関へ導入する際の求めに応じて、医療機器製品のMDS2及びSBOM等の顧客向け文書を提供する。

6．2．情報共有

情報共有は、サイバーセキュリティの脅威及び脆弱性を管理するための基本的な活動である。製造販売業者は、医療機器について、市販前に立案されたサイバーセキュリティマネジメント計画に基づき、市販後に国内外で確認されたサイバーセキュリティの脅威及び脆弱性に関する情報並びにその他の医療機器の適正なセキュリティ対応のために必要な情報を、医薬品医療機器等法に基づき継続的に収集、分析するとともに、それを医療機関へ提供する。

一方、我が国で発生したインシデントなどであっても、その医療機器が稼働している可能性がある国・地域の必要な全関係者に対して、各国・地域の規制に応じた情報共有が必要となる場合があることに留意が必要である。例を挙げるとすれば、公開された脆弱性に対する、影響を受ける製品及び影響の内容、アップデートやその他の緩和策の利用可能性又は計画などを記述したセキュリティアドバイザリー(セキュリティ報告)等がある。製造販売業者がホームページに掲載したり、場合によっては直接顧客に届けたりする場合もあるかもしれない。緊急性が高い場合など、より国際的に一貫性のある情報を可能な限り同時に情報共有していくためには、規制当局やISAO／CERTと連携して情報の発出に積極的に協力する。また、サイバーセキュリティの特性から適切な情報更新が必要である。

情報共有のコミュニケーションは、共有された情報が商業的な優位性を得るために使用されるべきではないことを理解して、必要に応じて書面による合意をもって設定することが望ましい。情報共有を促進する方法の一つとして、共有される情報の匿名化を考慮する。

患者危害を防ぐために医療機器の製造販売業者がユーザー等との間で共有すべき情報としては、次の事項が挙げられる。

・　脆弱性の影響を受ける製品及びその影響の内容

・　当該製品で使用していない又は直接影響を受けないが、当該製品以外の医療機器又は医療機関のヘルスITネットワークシステムにおいて、ネットワーク接続を通して、当該製品に影響を及ぼす可能性がある製品のコンポーネントの脆弱性情報

・　医療機器のセキュリティに影響し得るIT機器の情報

・　攻撃又は潜在的な攻撃に関する情報及び悪用コードの利用可能性に関する情報

・　インシデントの確認

・　パッチ及びその他の緩和策(補完的対策等)の利用可能性

・　暫定処置としての医療機器の使用と結合に関する追加指示

製造販売業者がユーザー等へ共有する情報には、修正策がすぐに利用できない場合等、必要に応じて脅威の緩和策及び方法も含める。例えば、医療機器に影響する脆弱性を緩和するためのIT機器の構成、既知の悪用に対応する方法等を含める。

6．3．協調的な脆弱性の開示(CVD)

製造販売業者が、自社の医療機器の脆弱性情報(CVE等)、他社の医療機器にも関係する脆弱性情報やセキュリティアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない状況で開示すれば、即座にサイバー攻撃の標的になってしまうこともある。従って、脆弱性情報を開示するタイミングは注意を要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでなく、場合によっては分野を超えた連携が必要な場合がある。この場合、製造販売業者は、規制当局等と連携して、必要な調整を実施する協調的な脆弱性の開示(CVD：Coordinated Vulnerability Disclosure)のプロセスを確立し、例外なく実施する。未知の脆弱性を考慮することは難しいので、透明性を強化するこのCVDの取組みは重要である。積極的なCVDに関連して、製造販売業者は次を実施する。

・　サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキュリティの情報源の監視

・　協調的な脆弱性開示のポリシー及びプラクティスの採用(ISO／IEC 29147：2018情報技術―セキュリティ手法―脆弱性の開示)

これには脆弱性報告の受領確認を脆弱性発見者に対して指定された期間内に通知することを含む。

・　脆弱性の検出及び処理のためのプロセス確立及び伝達(ISO／IEC 30111：2019情報技術―セキュリティ手法―脆弱性の処理プロセス)

このプロセスは、セキュリティ研究者、医療機関等、脆弱性報告の発生源に拘わらず、明確性且つ一貫性及び再現性が求められる。

・　CVSS等の確立したセキュリティの方法論及び臨床的なリスクアセスメント手法(JIS T 14971：2020等)に従って行う、報告された脆弱性の評価

・　修正策の実施

修正策が可能でない場合、適切な脆弱性の緩和策又は補完的対策の実施。修正策、緩和策については、展開失敗時の報告方法及び変更のロールバック(初期化)方法を確立する。

・　脆弱性の開示予定に関する行政機関との情報共有(行政機関からの要求に基づく連携)

・　ステークホルダーに対しての、脆弱性情報(適用範囲、影響、製造販売業者の現時点の理解に基づくリスクアセスメントを含む)の提供、並びに脆弱性の緩和策又は補完的対策に関する情報の提供

・　状況の変化に応じた、関係するステークホルダーに対する適切な最新情報の提供

6．4．脆弱性の修正

脆弱性の修正に関連する対応は、患者へのリスクを低減するために必要である。製造販売業者は、販売業者・貸与業者及び修理業者と協力し、医療機関と連携して、遅滞のない修正によって安全確保を行う。修正には、患者への通知を含む広範な対応が含まれる。サイバーセキュリティ対応には緊急性を伴う場合もあるが、製造販売業者が、セキュリティパッチ対応等のアップデートを実施する際、医療機器としての機能の追加・変更がない場合は、都度の薬事承認を受ける必要はないことから、医療現場において、緊急性を伴うサイバーセキュリティ対応を迅速に進めることが可能である。また、不具合修正を行うために必要なプログラム及びファイル等の提供形態は、薬事承認の内容に記載する必要はないと明確化されている。

注記　アップデート等に係る一部変更申請等の取り扱いについては、「医療機器プログラムの取扱いに関するQ＆Aについて(その2)」(平成27年9月30日付け厚生労働省医薬食品局医療機器・再生医療等製品担当参事官室・監視指導・麻薬対策課事務連絡)のQ20、「医療機器プログラムの一部変更に伴う軽微変更手続き等の取扱いについて」(平成29年10月20日付け薬生機審発1020第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長通知)を参照。

なお、これらの迅速な対応については、医療機器プログラムだけでなく医療機器においても参考にすることができる。「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」(令和3年6月28日付け厚生労働省政策統括官付サイバーセキュリティ担当参事官室・医政局研究開発振興課医療情報技術推進室・医薬・生活衛生局医療機器審査管理課・医薬安全対策課事務連絡)も参照。

脆弱性の監視対象の多くを占めるサードパーティ製ソフトウェアコンポーネントの扱いに関しては、JIS T 2304：2017(医療機器ソフトウェアのライフサイクルプロセス)にリスクマネジメント、構成管理等に関する詳細な要求事項があり、これに基づきSBOMの構築及び市販後のアップデートなどを考慮するとよい。さらに、在宅医療機器等、実際の使用環境が医療機関の施設内ではないことが容易に想定される医療機器については、アップデートの適用方法等に特別な配慮が必要となる。

なお、サードパーティ製ソフトウェアコンポーネントの影響を評価した上で、製品としての影響がないと評価された場合は、アップデートに代えてその旨の情報を提供することも重要な活動である。

6．5．インシデントへの対応

製造販売業者は、市販後のセキュリティ対応として、次を実施する。

・　インシデントに対する緊急対応

・　予防的計画的な活動となるセキュリティ点検

・　インシデントとしての行政機関への報告

・　ISAO等への情報共有を含むコミュニケーション

・　規制当局等への不具合等の報告(ただし、脆弱性及びセキュリティに関連する不具合の分析・評価の結果が、情報漏洩に関わる場合又は患者安全に関わる場合)

なお、これらを継続的に実施していくためには、製品セキュリティに特化した組織横断体制であるPSIRTを構築し、対応することが望ましい。製造販売業者の企業活動に関するサイバーセキュリティのためのCSIRT(Computer Security Incident Response Team)活動も重要であるが、IMDRFガイダンスの適用範囲から除外されており、目的も異なるので留意し、適切に対応されたい。

6．6．レガシー医療機器

6．6．1．TPLCとレガシー状態

製品開発から始まる製品のサイバーセキュリティのTPLCを図2に示す。製造販売業者は、販売開始(商用リリース)に対する、製品寿命終了(EOL)及びサポート終了(EOS)について、設計開発の段階においてTPLCに関するリスクマネジメント原則(5．2)に基づき、予め計画し定める。EOLについては、販売時及び変更があった場合、顧客に通知する。例えば、EOLは、販売終了(予定)日に耐用期間を加えた日とする考え方がある。EOSについては、顧客が十分に対応可能な期間を配慮する必要があるため、遅くともEOLまでに顧客に通知し、その後変更があった場合も通知する。EOL及びEOSの決定においては、ハードウェア部品・材料の供給、サードパーティ製ソフトウェア部品及び開発環境等のライフサイクルを考慮する。JIS T 2304のソフトウェア構成管理及び変更管理に関する規定に従って、サードパーティ製ソフトウェア部品を管理し、SBOMとして提示できる仕組みを構築する。開発環境については、JIS T 2304の「管理が必要な支援アイテム」の規定に従って管理する。

EOLからEOSの間は限定的サポート期間と呼ばれ、計画された開発はEOLまでに終了しており、セキュリティアップデート、特定の部品・材料供給のみの提供となる。EOS後は全てのサポートが終了となる。このため、EOS後は、最新アップデートの導入等の最低限の対策が行われたとしても、「未知の脆弱性は考慮することが難しい」ため、すぐにレガシー状態となる可能性がある。

EOS後も使用される場合、継続して使用する責任は医療機関に移転するため、予め医療機関との認識を共有することが重要である。ただし、EOS後においても、医療機器において発生した不具合に関する情報収集義務(法68条の2の5第1項)及び行政報告義務(法68条の10第1項)は製造販売業者に残る。EOS後の継続した使用に関しては、決して推奨できる状態ではないことは、全てのステークホルダーが理解しておかねばならず、そのために製造販売業者は顧客との連携を行い、顧客への説明責任を果たす必要がある。

サイバーセキュリティが設計開発段階で十分配慮されていない製品が、そのまま市場に存在している場合は、既にレガシー状態となっている可能性があることに留意されたい。この場合、製造販売業者は、ファイアウォール等の補完的対策を検討すると同時に、速やかに顧客との連携を行い、顧客への説明責任を果たす必要がある。

セキュリティに関しては、老朽化の理由のみでその製品がレガシー医療機器であると判断してはならないことも重要である。販売開始から5年以内の医療機器であっても、現在のサイバーセキュリティの脅威に対して合理的な手段で保護できない場合は、販売開始以降の年数にかかわらずレガシー医療機器とみなされる。一方、販売開始から15年経過した医療機器であっても、現在のサイバーセキュリティの脅威に対して合理的な手段で保護できる場合は、レガシー医療機器に該当しない。例えば、図3に示すように、医療機器自体はレガシー状態であっても、ファイアウォール等の補完的対策によって、セキュアな状態を保証可能な場合は、その補完的対策を含めた構成において、レガシー医療機器とはみなされない。つまり限定的サポート期間が延長可能である。製造販売業者は、この補完的対策に使用するファイアウォール等の外部機器を、当該医療機器の使用環境として指定し、その仕様及び設定情報は、顧客向け文書に含める(5．5．1)。

なお、中古医療機器(貸与医療機器も含む)においても、製造販売業者が定めた製品のTPLCの範囲でサポートが提供されるため、製造販売業者が示したEOS内で販売可能である。EOSを超えて中古医療機器が販売されることが想定される場合には、製造販売業者は、中古医療機器の顧客に対しリスクを提示するよう努める。

6．6．2．TPLCにおける考慮事項

6．6．2．1　設計・開発期間

製造販売業者は、TPLCに関するリスクマネジメント原則(5．2)に従って、サードパーティ製ソフトウェアの提供業者の倒産や買収による突然のサポート停止等を含め、脆弱性発生によるリスクがあることを理解した上で、医療機器製品の品質、有効性及び安全性が確保されるよう、製造販売業者の責任によって必要な対策を設計段階で講じる必要がある。サードパーティ製の開発ツールを含むサードパーティ製ソフトウェア部品のライフサイクルは、医療機器製品のライフサイクルに比べ短く、合致していることは少ない。このため、製造販売業者は、サードパーティ製ソフトウェア部品について、世代を超えた管理又は代替を予め計画することも必要となる。

製造販売業者は、既知の脆弱性に対する最新のアップデートを導入し、脆弱性検査・診断ツール等を利用して定量的に対応度合いを把握・記録する。また市販後に合理的手段によってアップデートを導入できるユーザビリティが考慮された手段を機能として組み込むこと。

製造販売業者は、医療機器がレガシー状態になった場合を想定して、適用可能なファイアウォール等の補完的対策の仕様及び利用可能性等について予め検討しておくこと。

6．6．2．2　サポート期間

製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティポリシーによって対応する必要がある脆弱性については、6．4に従ってセキュリティアップデートを準備する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品に直接関係しない脆弱性についても、一般的に緊急性が高い(例えば、CVSSのベース基準値が9.0を上回る)等深刻度が高いことが公開されている脆弱性については、製品セキュリティポリシーに従って、当該製品が関係しないことを示すために、セキュリティアドバイザリー情報を顧客に提供する。情報提供を行わない場合は、その理由を含め記録を残し、顧客から提供を求められた場合に応じることができるよう準備する。

製造販売業者は、サードパーティ製ソフトウェア部品の世代交代又は代替が計画されている場合は、十分な評価を実施し、相互干渉等が発生しないことを確認した上で導入を行う。

製造販売業者は、製品がEOLを迎えるまでの期間、一般的な不具合修正だけでなく、セキュリティアップデートを含め、計画的に予見可能な課題に対応する。

6．6．2．3　限定的サポート期間

製造販売業者は、市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、製品セキュリティポリシーによって対応する必要がある脆弱性については、6．4に従ってセキュリティアップデートを準備する。対応する必要がない脆弱性については、セキュリティアドバイザリー情報を顧客に提供する。製品に直接関係しない脆弱性についても、一般的に緊急性が高い等深刻度が高いことが公開されている脆弱性については、当該製品が関係しないことを示すために評価記録を残す。また、顧客から提供を求められた場合に応じることができるようセキュリティアドバイザリー情報を準備する。

製品がEOLを迎えた後のこの期間においては、患者安全に重大な影響を与える場合を除き、一般的な不具合修正は実施されない。

6．6．2．4　サポート終了(EOS)

製造販売業者は、製品がEOSを迎えた後においては、一般的な不具合修正だけでなく、脆弱性の修正を含むセキュリティアップデートを実施しない。

製造販売業者は、EOSに際し、製品のセキュリティ状態に関する情報を顧客に提供すると同時にITネットワーク等へ接続した状態での使用を保証できない場合は、製品をネットワークから外すことを含め、その旨を顧客に通知する。通知の手段については、6．2情報共有を参照。

製造販売業者は、EOS後においても市販後監視の一環として脆弱性情報を入手し、脆弱性評価の結果、重大と判定された脆弱性については、評価結果を記録する。また、顧客から提供を求められた場合に応じることができるよう注意喚起のためのアドバイザリー情報を準備する。

文献

1)　IMDRF、N60：2020 Principles and Practices for Medical Device Cybersecurity

注記　対応邦訳は、医薬品食品衛生研究所ホームページから入手できる。

https://dmd.nihs.go.jp/cybersecurity/IMDRF_Guidance_Japanese_version.pdf

2)　ANSI／NEMA、HN 1‐2019 Manufacturer Disclosure Statement for Medical Device Security

3)　IEC、IEC TR 80001‐2‐2：2012 Application of risk management for IT‐networks incorporating medical devices‐Part 2‐2：Guidance for the disclosure and communication of medical device security needs, risks and controls

4)　日本規格協会、JIS T 2304：2017　医療機器ソフトウェア―ソフトウェアライフサイクルプロセス

IEC、IEC 62304：2006＋A1：2015 Medical device software‐Software life cycle processes

5)　AAMI、AAMI TIR 57：2016 Principles For Medical Device Security‐Risk Management

6)　AAMI、AAMI TIR 97：2019, Principles for medical device security‐Postmarket risk management for device manufacturers

7)　日本規格協会、JIS Z 8051：2015　安全側面―規格への導入指針

ISO／IEC、ISO／IEC GUIDE 51：2014 Safety aspects‐Guidelines for their inclusion in Standards

8)　日本規格協会、JIS T 0063：2020　医療機器における安全側面の開発及び導入の指針

ISO／IEC、ISO／IEC Guide 63：2019 Guide to the development and inclusion of aspects of safety in International Standards for medical devices

9)　日本規格協会、JIS T 14971：2020　医療機器―リスクマネジメントの医療機器への適用

ISO、ISO 14971：2019 Medical devices‐Application of risk management to medical devices

10)　日本規格協会、TR T 24971：2020　医療機器―JIS T 14971適用の指針

ISO、ISO／TR 24971：2020 Medical devices‐Guidance on the application of ISO 14971

11)　NIST、Cybersecurity Framework 2018

12)　NIST、Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework(SSDF)2020

13)　HSCC／JCWG、MEDICAL DEVICE AND HEALTH IT JOINT SECURITY PLAN 2019

https://healthsectorcouncil.org/the-joint-security-plan/

14)　IPA、脆弱性対処に向けた製品開発者向けガイド　2020

15)　MITRE、Rubric for Applying CVSS to Medical Devices 2019

16)　IPA、脆弱性診断サービス、https://www.ipa.go.jp/files/000067318.pdf

図1　サイバーセキュリティに関する顧客向け文書

図2　製品ライフサイクルにおけるレガシー医療機器の概念フレームワーク

(MDM：医療機器の製造販売業者)

図3　顧客向け文書の一部として扱う範囲(製造販売業者の責任範囲)

用語及び参考定義(五十音順)