○医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について
(令和6年1月31日)
(事務連絡)
(各都道府県衛生主管部(局)薬務主管課あて厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室、厚生労働省医薬局医療機器審査管理課、厚生労働省医薬局医薬安全対策課、厚生労働省医薬局監視指導・麻薬対策課通知)
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準の一部を改正する件」(令和5年厚生労働省告示第67号)による改正後の「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準」(平成17年厚生労働省告示第122号。以下「基本要件基準」という。)第12条第3項については、「医療機器の基本要件基準第12条第3項の適用について」(令和5年3月31日付け薬生機審発0331第8号)にて取扱いを、「医療機器の基本要件基準第12条第3項の適合性の確認について」(令和5年5月23日付け薬生機審発0523第1号)にて適合性の確認を、「医療機器の基本要件基準第12条第3項の適用に関する質疑応答集(Q&A)について」(令和5年7月20日付け事務連絡)にて医療機器の基本要件基準第12条第3項の適用に関する質疑応答集を、それぞれ示しているところです。
今般、医療機器の基本要件基準第12条第3項の適用等を含めた医療機器のサイバーセキュリティに関する質疑応答集を別紙のとおり取りまとめましたので、貴管内の製造販売業者において内容につき浸透が図られるよう、周知方御配慮願います。
[別紙]
医療機器のサイバーセキュリティに関する質疑応答集(Q&A)
Q1:WiFiやBluetooth、有線(LANやUSBデバイス)で接続できる仕様は有するものの、患者への使用時等においては接続されず、製造販売業者等による保守や修理作業においてのみ接続され、注意事項等情報や使用者との契約で接続制限が合意された医療機器については、医療機関のネットワークに常時繋がって使用・管理されているものとは異なり、想定される使用環境下に限定したサイバーセキュリティにおける評価のみを行うことで良いか。 また、汎用PCなどにインストールすることなく、端末からクラウドにアクセスして用いる医療機器プログラムについても、医療機器におけるサイバーセキュリティ対応は適用になるのか。 |
A1:基本要件基準第12条第3項に示されているとおり、製造販売業者等による保守や修理作業においてのみ接続される医療機器であっても、『①他の機器及びネットワーク等と接続して使用する医療機器』又は『②外部からの不正アクセス及び攻撃アクセスが想定される医療機器』が適用されるため、「当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定」し、リスク分析を行うことにより必要なセキュリティ対応・管理を行うこと。また、クラウドにアクセスして用いる医療機器プログラムについても同様に、医療機器であるプログラム部分のセキュリティ対応が必要になる。
なお、リスク分析の際には、システム構成図やネットワーク構成図を作成し、どのようなリスクが存在するのかを明確にし、合理的に予見可能な誤使用を踏まえた脅威分析を行った上で、運用上の注意点を明確にしていくことが重要になる。
令和5年5月23日付け薬生機審発0523第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知においては、意図する使用環境をシステム構成図やネットワーク構成図等を用いて確認することが求められているが、図等の様式の指定はない。
Q2:基本要件基準第12条第3項の経過措置期間中に承認申請・認証申請を行い、承認申請・認証取得が経過措置期間終了後となった場合であっても、承認申請・認証審査の中で基本要件第12条3項の適合確認は行われないとの理解で良いか。 |
A2:貴見のとおり。なお、製造販売業者において製造販売出荷までに適合性確認を行うこと。
Q3:承認申請・認証申請書の「性能及び安全性に関する規格欄」において、JIS T 81001―5―1はJIS T 2304と同様に記載する必要はないとの理解で良いか。 |
A3:貴見のとおり。
Q4:承認申請・認証申請において基本要件基準第12条第3項への適合を示す際、試験機関によるJIS T 81001―5―1への適合証明書を特定することで良いか。 |
A4:基本要件基準第12条第3項の適合性の確認のための第三者機関による試験は必須ではないが、試験機関を活用した場合、申請時においては、適合証明書に加えて、令和5年5月23日付け薬生機審発0523第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知の「2.JISに関連する既存通知等の要求事項」に記載されている項目に対する適合性の確認結果を示すか又は確認結果をまとめた社内文書等を特定すること。
Q5:承認審査の際に要求されるサイバーセキュリティに係る別添資料は、信頼性書面調査(非臨床)の対象になるのか。もし対象になる場合、提出すべき根拠資料は何か。 |
A5:令和4年8月8日付薬生機審発0808第1号の適合性書面調査実施要領にあるとおり、規則第114条の19第1項第1号のロ及びホに規定する資料は、調査対象となる承認申請資料となっており、サイバーセキュリティに係る別添資料も信頼性調査の対象になり得る。なお、対象になった場合は、別添資料に添付する社内文書が根拠資料となる。
Q6:医療情報システムを対象とした「医療情報システムの安全管理に関するガイドライン」は、いわゆる「3省2ガイドライン」と呼ばれているもののひとつであるが、この「医療情報システムの安全管理に関するガイドライン」は医療機器も対象として扱われるガイドラインなのか。 |
A6:「医療情報システムの安全管理に関するガイドライン」は、医療情報(医療に関する患者情報(個人識別情報)を含む情報)を取り扱う医療機器(電子カルテ等医療情報を扱うシステムとネットワークがつながっている医療機器も含む)においても対応が必要となる。なお、医療情報の定義については、医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)用語集を参照すること。
Q7:令和5年5月23日付け薬生機審発0523第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知に「セキュリティ設計のベストプラクティスを考慮した設計」とあるが、具体的に参考となる資料などはあるか。 |
A7:セキュリティ設計のベストプラクティスについては、JIS T 81001―5―1の5.3.2及び5.4.1に例示されている。その他、令和5年3月31日付け薬生機審発0331第11号・薬生安発0331第4号厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知の別添「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」の「5.1セキュリティ要求事項及びアーキテクチャー設計」も参照すること。
Q8:JIS T 81001―5―1の附属書Fトランジションヘルスソフトウェアを適用した場合、令和5年5月23日付け薬生機審発0523第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知の1.(2)JIS T 81001―5―1の箇条5のソフトウェア開発プロセスについてのうち、「開発計画において、セキュリティ更新や開発環境等のセキュリティについて考慮すること。」、「意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこと。」及び「セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。」の記載をどのようにすれば良いか。 |
A8:JIS T 81001―5―1の附属書Fトランジションヘルスソフトウェアを適用する場合は、箇条4を実施し、5.2、5.7及び7.1から7.3までの要求事項とのギャップ分析を含むギャップ解消アクティビティを実行し、ギャップ解消アクティビティのアウトプットに基づくトランジションヘルスソフトウェアの継続使用の根拠をトランジションヘルスソフトウェアのバージョンとともに文書化すること。また、トランジションヘルスソフトウェアを箇条6から箇条9までの要求事項に適合させるために移行計画を確立し、利用可能にすること。箇条6から箇条9までに規定するリリース後のアクティビティを履行すること。
なお、結果として、令和5年5月23日付け薬生機審発0523第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知で求める確認の際の留意点のうち、箇条5のソフトウェア開発プロセスに係る次の事項については、記載が不要とできるが、その他の項目については、確認が必要であり、継続仕様の根拠等についても示す必要がある。
・開発計画を策定する際に、セキュリティ更新や開発環境等のセキュリティについて考慮すること。
・意図する使用環境、信頼境界、多層防御等を考慮してアーキテクチャー設計を行うこと。
・セキュリティ設計のベストプラクティスを考慮した設計及び実装を行うこと。
別添にトランジションヘルスソフトウェアを適用した場合の記載事例を示す。
Q9:外部委託先で製造されているが、開発時期が古く、製品標準書や設計開発の文書では使用ソフトが明らかになっていない医療機器について、SBOMを作成するために必要な情報が外部委託先から十分に提供されない場合や、独自開発されたソフトで脆弱性や脅威に関する情報やセキュリティに関する情報が保管されていない場合、この医療機器の製造販売を継続するためには製造販売業者としてどのように対処すれば良いか。 |
A9:基本要件基準の平成26年改正で、ソフトウェアのライフサイクル要件(JIS T 2304等)が導入され、平成29年11月25日以降は基準への適合が必須となったことから、それ以降に設計開発された品目では構成管理情報が存在するため、そこからSBOMは作成可能である。
また、ライフサイクル要件が求められる前に開発された品目に対しては、平成29年5月17日付け薬生機審発0517第1号厚生労働省医薬・生活衛生局医療機器審査管理課長通知において、「JIS T 2304等の要求事項と当該医療機器に関して利用可能な情報等との差分を分析し、リスクが受容可能になるようリスクマネジメントの中で対応し、必要な記録を残すこと等が含まれる。」と求めてきた経緯があるため、サイバー攻撃の観点からリスクを考慮し、使用時の注意の周知等、そのリスクが受容可能になるように対応して、継続使用に適することを確実にすること。
Q10:製品の寿命となるEOL及び限定的サポート期間を経て商業的サービスも終了するEOSについては、この限定的サポート期間を設けずに両者の日付を同日に設定することは可能か。 |
A10:医療機関にて新たな医療機器への買替え、ソフトウェアの更新等の対応を行う必要があることから、EOLとEOSとの間の限定的サポート期間を考慮する必要がある。そのため、限定的サポート期間における計画を立案し、医療機関に対してあらかじめ提示する必要になる。
Q11:医療機器の市販後のサイバーセキュリティの確保は、製造販売後安全管理において実施することでよいか。 |
A11:貴見のとおり。製造販売業者は医薬品、医薬部外品、化粧品、医療機器及び再生医療等製品の製造販売後安全管理の基準に関する省令(平成16年厚生労働省令第135号)に則り製造販売後安全管理を行う必要がある。当該省令第七条から九条に規定されるとおり、サイバーセキュリティを確保するために必要な情報を収集し、遅滞なく検討した結果、必要があると認める時は、安全確保措置(医療関係者への情報提供、脆弱性対策(市販後のアップデート等を含む)等)を実施する必要がある。
なお、安全管理情報の収集にあたっては、安全管理責任者は国内品質業務運営責任者等、その他の製造販売後安全管理に関係する部門の責任者と密接な連携を図り、国内品質業務運営責任者等が入手した情報のうち、品質に関するものについては、引き続きQMS省令に基づき国内品質業務運営責任者等が必要な検討・措置を行うこと。
[別添]
[記載事例]
4.設計検証及び妥当性確認文書の要約
<省略>
(4) JIS T 81001―5―1の実施状況
JIS T 81001―5―1の確認項目 |
記載文書 |
|
4 |
一般要求事項 |
規程の各要求事項に対して、JIS T 81001―5―1の附属書Fトランジションヘルスソフトウェアを適用し、「医療機器の基本要件基準第12条第3項の適合性の確認について」(薬生機審発0523第1号:令和5年5月23日)に示す内容も含めて、別添資料1に示す通り、関連する文書を調査し、適合性を確認した。(別添資料1参照) |
5 |
ソフトウェア開発プロセス |
|
6 |
ソフトウェア保守プロセス |
|
7 |
セキュリティに関連するリスクマネジメントプロセス |
|
8 |
ソフトウェア構成管理プロセス |
|
9 |
ソフトウェア問題解決プロセス |
|
別添資料1