・医療機器の基本要件基準第１２条第３項の適合性の確認について(◆令和05年05月23日薬生機審発第523001号)

添付一覧

添付画像はありません

○医療機器の基本要件基準第12条第3項の適合性の確認について

(令和5年5月23日)

(薬生機審発0523第1号)

(各都道府県衛生主管部(局)長あて厚生労働省医薬・生活衛生局医療機器審査管理課長通知)

(公印省略)

「薬事法第41条第3項の規定により厚生労働大臣が定める医療機器の基準の一部を改正する件」(令和5年厚生労働省告示第67号)による改正後の「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準」(平成17年厚生労働省告示第122号。以下「基本要件基準」という。)に規定されている第12条第3項は、1年間の経過措置期間が設定され、改正後の基本要件基準第12条第3項の適合が必要な医療機器においては、令和6年4月1日までの間、なお従前の例によることができるとされているところです。

その適合性の確認について、下記のとおりとするので、御了知の上、貴管内関係団体、関係業者等への周知徹底をお願いします。

また、本通知の写しを独立行政法人医薬品医療機器総合機構理事長、一般社団法人日本医療機器産業連合会会長、一般社団法人米国医療機器・IVD工業会会長、欧州ビジネス協会医療機器・IVD委員会委員長、一般社団法人日本臨床検査薬協会会長及び医薬品医療機器等法登録認証機関協議会代表幹事宛て送付することを申し添えます。

記

高度管理医療機器若しくは管理医療機器の承認申請又は認証申請を行う製造販売業者等は、当該医療機器について基本要件基準第12条第3項への適合を示すため、JIS T 81001―5―1等への適合性を確認する際には、次の事項について留意して、当該結果を示すか又は当該結果をまとめた社内文書等を特定すること。なお、一般医療機器についても同様に確認が必要であること。

1．JISに関連する要求事項

(1)　JIS T 81001―5―1の箇条4の一般要求事項について

・サイバーセキュリティの確保に係る活動は、品質マネジメントシステムに基づいて行われていること。

・規制当局及び顧客に対して脆弱性を適時に通知する活動を確立すること。

・医療機器のリスクマネジメントは、セキュリティの脆弱性、脅威等を考慮したものであること。

(2)　JIS T 81001―5―1の箇条5のソフトウェア開発プロセスについて

JIS T 81001―5―1の規定に基づき、ソフトウェア開発プロセスに対して、次の配慮が行われていること。

・開発計画において、セキュリティ更新や開発環境等のセキュリティについて考慮すること。

・製品のセキュリティ機能を含むセキュリティ要求事項を特定すること。

・意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこと。

・セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。

・ソフトウェアシステム試験を行って、セキュリティ要求事項が満たされ、リスクマネジメントプロセスで特定した脅威に対応する方法が設計に実装され、有効であることを確認すること。

(3)　JIS T 81001―5―1の箇条6のソフトウェア保守プロセスについて

顧客に対するセキュリティ更新の通知方針について定めておくこと。

(4)　JIS T 81001―5―1の箇条7のセキュリティに関連するリスクマネジメントプロセスについて

医療機器のリスクマネジメントにおいて、医療機器の意図する使用及び使用環境を考慮して、関連する脆弱性を特定し、関連する脅威を推定して評価し、リスクコントロール手段によって脅威をコントロールし、その有効性を監視すること。

(5)　JIS T 81001―5―1の箇条8のソフトウェア構成管理プロセスについて

医療機器の開発、保守及びサポートのための、変更管理及び変更履歴を伴う構成管理プロセスを確立すること。

(6)　JIS T 81001―5―1の箇条9のソフトウェア問題解決プロセスについて

セキュリティの脆弱性に関する情報伝達及び処理の手順を定め、セキュリティ問題に対して、情報開示を含めて手順に従って実施すること。

2．JISに関連する既存通知等の要求事項

下記の項目については、規格への適合性を確認する際、追加で確認すること。

(1)　JIS T 81001―5―1の箇条4の一般要求事項について

規制当局及び顧客に対して脆弱性を適時に通知する活動は、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成30年7月24日付け薬生機審発0724第1号及び薬生安発0724第1号)に求める通り、品質マネジメントシステムにおいて、セキュリティに対する対応方針、セキュリティに対する問い合わせ窓口を明確化し、顧客に対する脆弱性等の開示手順が定められていることによって確認すること。

(2)　JIS T 81001―5―1の箇条5のソフトウェア開発プロセスについて

セキュリティ要求事項の特定においては、基本要件基準第12条第3項に規定する通り、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて行うことが必要であり、意図する使用環境をシステム構成図やネットワーク構成図等を用いて明示することで確認すること。

(3)　JIS T 81001―5―1の箇条6のソフトウェア保守プロセスについて

基本要件基準第12条第3項に規定する「医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画」として、ソフトウェア保守計画において、サポート終了等の製品寿命に対して計画し、脆弱性の監視、セキュリティ更新等の将来的な脆弱性対策の実施計画等をあらかじめ定めておき、その計画の一環として顧客に対するセキュリティ更新の通知方針を明確化すること。

(4)　JIS T 81001―5―1の箇条8のソフトウェア構成管理プロセスについて

構成管理プロセスは、当該医療機器のソフトウェア部品表(SBOM)を適切に作成することによって確認すること。

参考：基本要件基準CLの適合


基本要件	当該機器への適用・不適用	適合の方法	特定文書の確認
(プログラムを用いた医療機器に対する配慮)
3　プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。	適用	認知された基準の該当する項目に適合することを示す。	医療機器の基本要件基準第12条第3項の適合性の確認について(薬生機審発0523第1号：令和5年5月23日)