概要
令和5年5月23日付けで厚生労働省医薬・生活衛生局医療機器審査管理課より発出された本通知は、医療機器のサイバーセキュリティに関する基本要件基準の適合性確認方法を明確化したものです。
基本要件基準第12条第3項の改正により、ネットワーク接続型医療機器や外部からの不正アクセスが想定される医療機器について、サイバーセキュリティの確保が法的要求事項となりました。令和6年4月1日までの経過措置期間が設定されていますが、それ以降はすべての該当医療機器がこの要求事項に適合する必要があります。
本通知では、JIS T 81001-5-1規格への適合性を確認する際の具体的な留意事項を示し、高度管理医療機器、管理医療機器、一般医療機器のすべてのクラスにおいて、サイバーセキュリティの確保に向けた体系的な取り組みを求めています。特に、品質マネジメントシステムに基づくサイバーセキュリティ活動の実施、ソフトウェア開発から保守に至るライフサイクル全体での管理、リスクマネジメントプロセスの確立が重要なポイントとなっています。
1. JIS T 81001-5-1規格の要求事項
1.1 一般要求事項(箇条4)
サイバーセキュリティの確保に係る活動は、医療機器の品質マネジメントシステムに統合して実施することが求められています。これは、セキュリティ対策を単独の活動としてではなく、品質管理活動の一環として組織的に取り組むことを意味します。
また、規制当局および顧客に対して脆弱性を適時に通知する活動を確立することも重要な要求事項となっています。発見された脆弱性について、適切なタイミングで関係者に情報提供を行う体制を整備する必要があります。
さらに、医療機器のリスクマネジメントにおいては、セキュリティの脆弱性や脅威等を考慮に入れることが必須となっています。従来の安全性リスクに加えて、サイバーセキュリティリスクも統合的に管理することが求められています。
1.2 ソフトウェア開発プロセス(箇条5)
開発計画の策定段階において、セキュリティ更新や開発環境等のセキュリティについて考慮することが必要です。これにより、開発初期からセキュリティを考慮した設計が可能となります。
製品のセキュリティ機能を含むセキュリティ要求事項を明確に特定し、文書化することが求められています。これらの要求事項は、医療機器の意図する使用環境や接続されるネットワーク環境を踏まえて設定する必要があります。
アーキテクチャー設計においては、意図する使用環境、信頼境界、多層防御等を考慮することが重要です。これにより、外部からの脅威に対して複数の防御層を設けることができます。
設計および実装の段階では、セキュリティ設計のベストプラクティスを考慮することが求められています。業界で確立された優れた実践方法を取り入れることで、堅牢なシステムを構築できます。
ソフトウェアシステム試験では、セキュリティ要求事項が満たされていることを確認し、リスクマネジメントプロセスで特定した脅威に対応する方法が設計に実装され、有効であることを検証する必要があります。
1.3 ソフトウェア保守プロセス(箇条6)
顧客に対するセキュリティ更新の通知方針を明確に定めておくことが必要です。脆弱性が発見された場合や、セキュリティパッチが必要となった場合の連絡体制を整備する必要があります。
1.4 セキュリティに関連するリスクマネジメントプロセス(箇条7)
医療機器のリスクマネジメントにおいて、医療機器の意図する使用および使用環境を考慮して、関連する脆弱性を特定することが求められています。特定された脆弱性に対して、関連する脅威を推定して評価し、適切なリスクコントロール手段を実施する必要があります。
実施したリスクコントロール手段の有効性は継続的に監視し、必要に応じて改善を行うことが重要です。
1.5 ソフトウェア構成管理プロセス(箇条8)
医療機器の開発、保守およびサポートのための、変更管理および変更履歴を伴う構成管理プロセスを確立することが必要です。これにより、ソフトウェアの変更を追跡し、必要に応じて以前のバージョンに戻すことが可能となります。
1.6 ソフトウェア問題解決プロセス(箇条9)
セキュリティの脆弱性に関する情報伝達および処理の手順を定め、セキュリティ問題に対して、情報開示を含めて手順に従って実施することが求められています。
2. 既存通知との関連要求事項
2.1 脆弱性通知活動の具体化
規制当局および顧客に対する脆弱性通知活動については、平成30年7月24日付けの「医療機器のサイバーセキュリティの確保に関するガイダンスについて」に従うことが求められています。品質マネジメントシステムにおいて、セキュリティに対する対応方針、セキュリティに対する問い合わせ窓口を明確化し、顧客に対する脆弱性等の開示手順を定めることで確認することとされています。
2.2 使用環境の明示
セキュリティ要求事項の特定においては、基本要件基準第12条第3項に規定される通り、当該医療機器における動作環境およびネットワークの使用環境等を踏まえて行うことが必要です。意図する使用環境をシステム構成図やネットワーク構成図等を用いて明示することで確認することが求められています。
2.3 ライフサイクル全体の計画
基本要件基準第12条第3項に規定される「医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画」として、ソフトウェア保守計画において、サポート終了等の製品寿命に対して計画することが必要です。脆弱性の監視、セキュリティ更新等の将来的な脆弱性対策の実施計画等をあらかじめ定めておき、その計画の一環として顧客に対するセキュリティ更新の通知方針を明確化することが求められています。
2.4 ソフトウェア部品表(SBOM)の作成
構成管理プロセスは、当該医療機器のソフトウェア部品表(SBOM)を適切に作成することによって確認することとされています。SBOMは、医療機器に使用されているすべてのソフトウェアコンポーネントを文書化したもので、脆弱性管理において重要な役割を果たします。
3. 適用範囲と経過措置
3.1 対象となる医療機器
本通知の要求事項は、高度管理医療機器、管理医療機器、一般医療機器のすべてのクラスに適用されます。特に、他の機器およびネットワーク等と接続して使用する医療機器、または外部からの不正アクセスおよび攻撃アクセス等が想定される医療機器が対象となります。
3.2 経過措置期間
改正後の基本要件基準第12条第3項については、1年間の経過措置期間が設定されています。令和6年4月1日までの間は従前の例によることができますが、それ以降はすべての該当医療機器が本要求事項に適合する必要があります。
3.3 承認・認証申請での対応
高度管理医療機器もしくは管理医療機器の承認申請または認証申請を行う製造販売業者等は、基本要件基準第12条第3項への適合を示すため、JIS T 81001-5-1等への適合性を確認し、その結果を示すか、または結果をまとめた社内文書等を特定することが必要です。
4. 実装に向けた実務的な留意点
4.1 品質マネジメントシステムとの統合
サイバーセキュリティ活動を既存の品質マネジメントシステムに統合する際は、ISO 13485の要求事項との整合性を保ちながら、セキュリティ固有の活動を追加する必要があります。文書管理、記録管理、内部監査等の既存のプロセスを活用しつつ、セキュリティ特有の要素を組み込むことが効率的です。
4.2 リスクマネジメントの実施
セキュリティリスクマネジメントは、ISO 14971に基づく既存の安全性リスクマネジメントプロセスと統合して実施することが推奨されます。脅威モデリング、脆弱性評価、リスク分析等のセキュリティ固有の活動を、既存のリスクマネジメントフレームワークに組み込むことで、包括的なリスク管理が可能となります。
4.3 文書化と記録の管理
JIS T 81001-5-1への適合を示すためには、各プロセスの実施結果を適切に文書化し、記録として保管する必要があります。特に、セキュリティ要求事項の特定、リスク分析の結果、実施したリスクコントロール手段、検証・妥当性確認の結果等は、承認・認証申請時に提示できるよう整備しておくことが重要です。
4.4 継続的な改善
サイバーセキュリティは常に進化する脅威に対応する必要があるため、継続的な改善が不可欠です。脆弱性情報の収集、セキュリティインシデントからの学習、定期的なリスクアセスメントの見直し等を通じて、セキュリティ管理体制を継続的に強化していく必要があります。
5. 組織体制と責任の明確化
5.1 セキュリティ管理体制の構築
医療機器のサイバーセキュリティを確保するためには、組織内に明確な管理体制を構築する必要があります。セキュリティ責任者の任命、セキュリティチームの編成、各部門の役割と責任の明確化等を行い、組織全体でセキュリティに取り組む体制を整備することが重要です。
5.2 教育・訓練の実施
開発者、品質保証担当者、サービスエンジニア等、医療機器に関わるすべての従業員に対して、サイバーセキュリティに関する適切な教育・訓練を実施する必要があります。特に、セキュアコーディング、脆弱性評価、インシデント対応等の専門的なスキルを持つ人材の育成が重要となります。
5.3 外部との連携
医療機器のサイバーセキュリティを確保するためには、外部組織との適切な連携が不可欠です。規制当局への報告体制、医療機関との情報共有、セキュリティベンダーとの協力関係、業界団体での情報交換等を通じて、最新の脅威情報やベストプラクティスを収集し、自社の取り組みに反映させることが重要です。
まとめ
医療機器におけるサイバーセキュリティ対策は、令和6年4月1日以降、基本要件基準第12条第3項に基づき法的要求事項として完全適用されます。ネットワーク接続型医療機器や外部アクセスが想定される製品では、JIS T 81001-5-1規格への適合性確認、ライフサイクル全体でのリスクマネジメント、SBOMの整備など、従来以上に体系的かつ実務的な対応が求められます。
特に、開発段階から保守運用までのセキュリティ管理を品質マネジメントシステムに統合し、適切な文書化・記録管理を行うことが、承認・認証申請においても重要なポイントになります。法改正の内容を正確に理解し、自社の体制・手順・文書群を早期に整備することで、申請時の遅延や指摘リスクを軽減できます。
自社での対応方針策定や体制構築、JIS規格適合の文書整備に不安がある場合は、ぜひ一度弊社にご相談ください。医療機器サイバーセキュリティ対応の実務に精通した社員が、貴社の状況に応じた最適な対応策をサポートいたします。お問い合わせ・ご相談はお気軽にどうぞ。
