2021年9月2日
医療機器の薬事に関する法規制情報提供サービス
医療機器のサイバーセキュリティ導入に関する手引書パブリックコメント情報【パブコメ情報】
目次
医療機器のサイバーセキュリティ導入に関する手引書パブリックコメント情報
厚生労働省が、2021年10月7日より「医療機器のサイバーセキュリティの確保に関するガイダンス案」に関するパブリックコメントの募集を開始しました。
【意見の募集期間】
令和3年10月7日(木)から令和3年11月5日(金)まで(郵送の場合は募集期間内の必着)
【御意見の募集対象】
意見の提出方法等の詳細についてはこちらのページをご確認ください(パブリックコメント募集ページに遷移します)。
医療機器のサイバーセキュリティ導入に関する手引書(案)の概要
厚生労働省は「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」(薬生機審発0513第1号/薬生安0513第1号)において、 「国際的な規制調和の推進の観点や国境の枠組みを超えて医療機器のサイバーセキュリティに係る安全性を向上させる観点から、我が国においても、今後3年程度を目途に、医療機器製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っている 旨を公表していました。
今回のパブリックコメント対象である「医療機器のサイバーセキュリティ導入に関する手引書(案) 」はIMDRFガイダンスを日本において導入するために作成された文書です。
医療機器のサイバーセキュリティ導入に関する手引書(案)の特徴
「医療機器のサイバーセキュリティ導入に関する手引書(案) 」の特徴は以下です:
- IMDRFガイダンスの内容を基本としたものであり、かつ
- AMED 医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」(研究開発代表者:公益財団法人医療機器センター専務理事 中野壮陛氏)」における検討内容を踏まえ日本の状況にあわせて必要な編纂がなされたものである
- IMDRF における検討の動向に沿って、適宜改訂又は追補等が行われる
医療機器のサイバーセキュリティ導入に関する手引書(案)の目的
「医療機器のサイバーセキュリティ導入に関する手引書(案) 」は、IMDRF ガイダンスの要求事項を踏まえ、医薬品医療機器等法を遵守し、医療機器の品質、有効性及び安全性を確保するために、製造販売業者が、日本の医療機器に対して導入するための対応及び組織的な取組みを行うための情報を提供するものです。
これによって製造販売業者が適切な対応を実施し、その結果、製品ライフサイクル全体(Total Product Life Cycle / TPLC)を通じサイバーセキュリティに関するリスクを低減し、医療機器製品の安全性と基本性能を確保することで、患者への危害の発生及び拡大の防止に繋げることを目的としています。
医療機器のサイバーセキュリティ導入に関する手引書(案)の適用範囲
無線又は有線により、メディア媒体を含む他の機器・ネットワーク等との接続が可能なプ66 ログラムを用いた医療機器(ソフトウェア単独で医療機器となる医療機器プログラム(Software as a Medical Device: SaMD)を含む)及びプログラムを用いた附属品等に関するサイバーセキュリティを対象としています。
対象とするサイバーセキュリティリスクは以下です:
- 製品の性能に影響を与える
- 臨床活動に影響を与える
- 誤った診断、治療又は予防に繋がる
なお、データプライバシー等の情報セキュリティに係るリスクについては対象とされていません。
TPLCをとおしたサイバーセキュリティ対応
「 医療機器のサイバーセキュリティ導入に関する手引書(案) 」ではTPLCをとおしたサイバーセキュリティ対応を求めています。
- 設計・開発段階におけるサイバーセキュリティリスクマネジメント、アーキテクチャ設計やセキュリティ試験に関する事項
- 顧客向け文書に関する事項
- 当局に対する申請資料に関する事項
- 市販後の情報収集・情報共有・インシデント対応等に関する事項
等について、製品ライフサイクルの流れに沿って留意・実行すべき事項が規定されています。
日本におけるサイバーセキュリティ関連規制の流れ
参考として、日本における医療機器のサイバーセキュリティ規制に関する流れをご紹介します。
- 2013年、厚生労働省が医療機関に対して、「医療情報システムの安全管理に関するガイドライ ン」(第 4.2 版、平成25年10月)の中で、医療に関わる情報を扱う全ての情報システムについて、不正ソフトウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティ対策も含めた技術的安全対策等を実施するよう求める。
- 2014年「サイバーセキュリティ基本法」(平成26年法律第104号)の制定
- 2015年1月、内閣に「サイバーセキュリティ戦略本部」、内閣官房に「内閣サイバーセキュリティセンター」が設置される
- 2015年9月4日、「サイバーセキュリティ戦略」が閣議決定される
- 2014年5月、「重要インフラの情報セキュリティ対策に係る第3次行動計画」(情報セキュリティ政策会議)の公表
- 重要インフラ分野である医療において、医療機関(小規模なものを除く。)が重要インフラ事業者される。その重要システム例として、電子カルテシステムとともに、医用電気機器等が挙げられ、安全基準の整備浸透、リスクマネジメント等の施策を通じて、防護対策の強化に取り組むことが必要とされた。
- 2015年4月28日、「医療機器におけるサイバーセキュリティの確保について」(薬食機参発0428第1号/薬食安発0428第1号)発出
- 医療機器のサイバーセキュリティの確保に関する留意事項に関する通知
- 2018年7月24日、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(薬生機審発0724第1号/薬生安発0724第1号)発出
- 2019年3月26日、医療機器産業連合会(医機連)が「医療機器のサイバーセキュリティに関する質疑応答集(Q&A)」を発出。
- 2020年5月13日、厚生労働省が「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」(薬生機審発0513第1号/薬生安0513第1号)を発出
- 2020年3月18日にIMDRFが発出した「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則及び実践)」を翻訳し、当該ガイダンスの周知を図るもの
- 「国際的な規制調和の推進の観点や国境の枠組みを超えて医療機器のサイバーセキュリティに係る安全性を向上させる観点から、我が国においても、今後3年程度を目途に、医療機器製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っている」旨を公表
- 2021年10月7日、厚生労働省が「医療機器のサイバーセキュリティの確保に関するガイダンス案に関する御意見の募集について」と題したパブリックコメントの募集を開始