概要
令和7年4月17日、厚生労働省医薬局より、医療機器のサイバーセキュリティ対策に関する重要な通知が発出されました。本通知は、令和6年3月31日以前に製造販売された医療機器について、製造販売業者等が医療機関等に対して実施すべきサイバーセキュリティ関連の情報提供事項を明確化したものです。
医療機器の基本要件基準第12条第3項への適合が確認されていない既存の医療機器は、サイバー攻撃に対して脆弱である可能性があります。そのため、製造販売業者等は、医療現場における患者の安全性を確保する観点から、適切なリスク評価と情報提供を行う必要があります。
本通知では、医療機器のライフサイクル(開発段階、製品寿命終了EOL、サポート終了EOS)に応じた段階的な対応方法を示し、SBOM(ソフトウェア部品表)の準備、セキュリティパッチの適用計画、補完的対策の実施など、具体的な対応事項を定めています。
1. 法的背景と基本要件基準の改正
1.1 基本要件基準第12条第3項の位置づけ
医療機器の基本要件基準は、医薬品医療機器等法第41条第3項に基づき厚生労働大臣が定める医療機器の基準です。令和5年の改正により、第12条第3項にサイバーセキュリティ対策に関する要求事項が追加されました。
この改正は、医療機器のデジタル化・ネットワーク化の進展に伴い、サイバー攻撃による医療機器の誤動作や機能停止といったリスクが顕在化してきたことを背景としています。医療機器が患者の生命・健康に直接関わることから、サイバーセキュリティ対策は医療機器の安全性確保の重要な要素となっています。
1.2 製造販売業者等の法的責務
製造販売業者等には、医薬品医療機器等法に基づく以下の責務があります。
- 第68条の2の6第1項:医療機器の適正な使用のために必要な情報を収集・検討し、医療機関等に提供する努力義務
- 第68条の9第1項:必要な措置を講じる義務
- 第68条の10第1項:不具合等を厚生労働大臣に報告する義務
これらの法的責務は、サイバーセキュリティに関する情報提供においても適用され、製造販売業者等は継続的な情報収集と提供を行う必要があります。
2. 対象となる医療機器と情報提供の必要性
2.1 対象医療機器の範囲
本通知の対象は、令和6年3月31日以前に製造販売された医療機器のうち、医療機関等において稼働している可能性のある医療機器です。これらの医療機器は、基本要件基準第12条第3項への適合が確認されていない場合があり、設計・開発段階でのサイバーセキュリティ対応が十分でない可能性があります。
特に、ネットワークに接続される医療機器や、ソフトウェアを搭載した医療機器は、サイバー攻撃の標的となりやすく、重点的な対応が求められます。
2.2 情報提供の重要性
医療現場では、様々な世代の医療機器が混在して使用されています。古い医療機器ほど、現在のサイバー脅威に対する防御機能が不十分である可能性が高く、医療機関側でも適切なリスク管理を行うことが困難です。
製造販売業者等からの適切な情報提供により、医療機関は以下のような対応が可能となります。
- サイバーリスクを考慮した医療機器の運用方法の検討
- 必要に応じた補完的セキュリティ対策の実施
- 医療機器の更新計画の策定
3. 製造販売業者等が実施すべき具体的対応
3.1 サイバーリスク評価と情報提供(通知(1)項)
製造販売業者等は、医療現場における患者の安全性を確保するため、当該医療機器のサイバーリスクに関する評価及び対策等を適切に実施する必要があります。具体的には以下の対応が求められます。
サイバーリスク評価の実施
- 医療機器の脆弱性評価
- 意図する使用環境におけるリスク分析
- 想定される脅威と影響度の評価
情報提供の内容
- 識別されたサイバーリスクの詳細
- 推奨される運用上の対策
- 使用環境における注意事項
3.2 SBOM(ソフトウェア部品表)の準備
SBOM(Software Bill of Materials)は、医療機器に含まれるソフトウェア部品の一覧表です。製造販売業者等は、医療機関等の求めに応じてSBOMを提示できるよう準備しておく必要があります。
SBOMに含まれる情報として、以下のような項目が挙げられます。
- ソフトウェアコンポーネント名とバージョン
- ライセンス情報
- 既知の脆弱性情報
- 依存関係
ただし、サポート終了(EOS)を過ぎた医療機器で、既に必要な情報提供を完了している場合は、SBOMの作成・提示は不要とされています。
3.3 ライフサイクル情報の提供(通知(2)項)
医療機器のライフサイクルを明確にし、以下の3つの段階に応じた情報提供を行います。
① EOLを越えていない場合
- 適用可能なセキュリティパッチの情報
- セキュリティ確保に必要なアップグレード情報
- 完全なサポート体制の継続
② EOLを越えているがEOSに達していない場合
- 限定的サポートの内容(重要なセキュリティパッチのみ等)
- 必要に応じた補完的対策の情報
- EOSまでの期間と今後の対応計画
③ EOSを越えている場合
- 補完的対策等の情報
- EOSに関する情報の速やかな提供
- 代替機器への移行推奨
4. セキュリティ対策の実施と医療機関との連携
4.1 セキュリティパッチの適用計画(通知(3)項)
医療機器がEOSに達していない場合、製造販売業者等は以下の対応を行います。
適用計画の策定と共有
- セキュリティパッチの適用スケジュール策定
- 医療機関の運用に配慮した実施時期の調整
- 定期点検等の機会を活用した効率的な適用
段階的な対策の実施
セキュリティパッチの評価に時間を要する場合は、以下のような段階的アプローチも可能です。
- ファイアウォール等の補完的対策を先行実施
- リスク評価完了後、本格的なパッチ適用
- 継続的なモニタリングと追加対策の検討
4.2 EOS後の継続的な情報収集と提供(通知(4)項)
医療機器がEOSを越えて使用されている場合でも、製造販売業者等には以下の責務があります。
継続的な情報収集
- 有効性及び安全性に関する情報の収集
- サイバーセキュリティに関連する新たな脅威情報の把握
- 他国での安全確保措置の情報収集
不具合等報告の検討
以下の場合は、不具合等報告の要否を検討し、適切な対応を取る必要があります。
- サイバーセキュリティに関連した不具合の発生
- 健康被害の発生または発生のおそれ
- 外国での安全確保措置の実施
4.3 中古医療機器への対応(通知(5)項)
中古医療機器を取り扱う販売業者等からの求めがあった場合、製造販売業者等は新品医療機器と同様の対応を行う必要があります。これにより、中古市場で流通する医療機器についても、適切なサイバーセキュリティ情報が提供されることとなります。
5. 実務上の留意点と今後の展望
5.1 医療機関との効果的なコミュニケーション
製造販売業者等は、医療機関に対して技術的な情報を分かりやすく伝える必要があります。以下の点に留意することが重要です。
情報提供の方法
- 専門用語を避けた平易な説明
- リスクの具体的な影響の明示
- 対策の実施手順の明確化
双方向のコミュニケーション
- 医療機関からのフィードバックの収集
- 現場の運用実態を踏まえた対策の調整
- 定期的な情報交換の実施
5.2 記録の保持と管理体制
製造販売業者等は、以下の記録を適切に保持・管理する必要があります。
- サイバーリスク評価の記録
- 情報提供の履歴
- セキュリティパッチの適用状況
- 医療機関とのやり取りの記録
これらの記録は、将来的な監査や検証の際に重要な証拠となります。
5.3 今後の規制動向への対応
医療機器のサイバーセキュリティ規制は、国際的にも強化の方向にあります。製造販売業者等は、以下の点に注意を払う必要があります。
- 国際的な規制動向の把握
- 新たな技術基準への対応準備
- 社内体制の継続的な強化
まとめ
本通知は、既存医療機器に対するサイバーセキュリティ対策の実施を明確化した重要な指針です。製造販売業者等には、SBOMの準備、ライフサイクルに応じた情報提供、セキュリティパッチの適用、EOS後の対応など、段階的かつ実務的な対応が求められています。
特に、医療機関との連携や技術情報の提供体制の構築は、患者の安全確保と医療現場の信頼維持に不可欠です。
弊社では、本通知への具体的な対応方法のご相談、SBOM整備のサポート、情報提供体制の構築支援などを承っております。
自社製品が対象に該当するか分からない、どこから着手すべきか不安といった場合も、お気軽にご相談ください。
