概要
令和5年7月20日、厚生労働省医薬・生活衛生局医療機器審査管理課から「医療機器の基本要件基準第12条第3項の適用に関する質疑応答集(Q&A)について」が発出されました。この文書は、医療機器におけるサイバーセキュリティ要件の適用について、製造販売業者から寄せられた疑問点を整理し、実務的な回答を提供するものです。
令和5年3月31日に改正された基本要件基準第12条第3項では、プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス等が想定される医療機器について、サイバーセキュリティの確保が義務付けられました。本Q&Aは、この新たな要件への適合性を確認する際の具体的な指針を示しています。
製造販売業者は、JIS T 81001-5-1への適合性を示すとともに、適合性確認通知で示された要件についても対応する必要があります。既存品目については、令和6年4月1日以降も製造販売を継続する場合、改正後の基本要件基準への適合を確認しておく必要があります。
1. 関連通知の位置づけと相互関係
1.1 取扱い通知と適合性確認通知の関係
取扱い通知(令和5年3月31日付け薬生機審発0331第8号)は、基本要件基準に新たに設定された条項の解釈を示す基本的な文書です。これに対して、適合性確認通知(令和5年5月23日付け薬生機審発0523第1号)は、取扱い通知で示された「JIS T 81001-5-1等への適合性を示す資料」をより具体的に規定した文書となります。
適合性確認通知では、JIS T 81001-5-1以外にも既存のサイバーセキュリティ関連通知で求めてきた要件を統合的に記載しています。例えば、「セキュリティに対する窓口の明確化」や「顧客に対する脆弱性等の開示手順」は、JIS T 81001-5-1の要求には明示的に含まれていませんが、適合性確認通知による要求事項として対応が必要です。これらの具体的な要件については、ガイダンス通知(平成30年7月24日付け)等で詳細が示されています。
2. 申請時の文書提示と記載方法
2.1 社内文書の特定と提示方法
承認・認証申請を行う製造販売業者は、適合性確認通知の1の(1)~(6)及び2の(1)~(4)のそれぞれの要件に対して、文書番号等の社内文書を特定する情報を示す必要があります。これらの情報は、承認(認証)申請書添付資料4項の電気安全・電磁両立性の項目(ソフトウェアライフサイクルの後)に記載します。
記載にあたっては、各要件に対応する社内文書名と文書番号を明確に示すことが求められます。別添の記載事例では、基本要件基準への適合性を示す表形式での記載方法や、JIS T 81001-5-1の実施状況を示すサイバーセキュリティに関する概要報告書の作成例が提供されています。
2.2 既存品目への対応
現在既に製造販売されている医療機器であって、令和6年4月1日以降も引き続き製造販売する医療機器については、改正後の基本要件基準への適合を確認する必要があります。これらの既存品目についても、適合性確認通知の各要件に対する社内文書を特定する情報を提示できるよう準備しておくことが必要です。
3. JIS T 81001-5-1の適用方法
3.1 既存品目へのトランジションヘルスソフトウェアの適用
製造販売承認・認証・届出済みで今後も製造販売する予定の品目のうち、JIS T 81001-5-1を適用して開発していない既存品目については、JIS T 81001-5-1の附属書Fトランジションヘルスソフトウェアを適用することができます。
トランジションヘルスソフトウェアの適用により、「セキュリティ運用ガイドラインを更新する」、「補完的コントロールを義務付ける」、「ヘルスソフトウェアの一部を書き直す」などの対策が可能となります。ただし、セキュリティに関するリスクアセスメントを実施し、リスク評価の結果、受容できないリスクがないことを確認する必要があります。
3.2 補完的対策とリスク評価
医療機器外部の補完的対策が必須となる場合もあり、リスクが受容できないと判断された場合は、医療機器製造販売業者が医療機関に対して当該医療機器使用の中止勧告を検討する必要があります。JIS T 81001-5-1の附属書Fトランジションヘルスソフトウェアを適用する場合は、その旨を承認(認証)申請書添付資料4項に記載することが求められます。
4. セキュリティ要件の具体的な実装
4.1 問い合わせ窓口の明確化
「セキュリティに対する問い合わせ窓口を明確化」という要件では、セキュリティに関して緊急に対応できる窓口(連絡先)の設定が求められます。医療機器製造販売業者のホームページにあるセキュリティポリシー、取扱説明書、注意事項等情報等に、セキュリティに関して緊急で対応できる窓口であることが明確にわかるように記載することが望ましいとされています。
注意事項等情報として記載する場合は、「製造販売業者及び製造業者の氏名又は名称等」欄に記載します。承認・認証申請時には、窓口を明確にしている文書名を示すことで適合性を示すことが想定されています。
4.2 ソフトウェア部品表(SBOM)の作成と管理
JIS T 81001-5-1の箇条8の構成管理プロセスでは、当該医療機器のソフトウェア部品表(SBOM)を適切に作成することが求められています。申請時にSBOMそのものを提出する必要はありませんが、承認・認証申請時にはSBOMを作成していることを明示する必要があり、例えばSBOMの文書名を記載することが求められます。
SBOMには、自社製(開発委託したものを含む)及び外部調達ソフトウェア(オープンソースソフトウェアを含む)の全てのコンポーネントが含まれる必要があります。少なくとも製品の最上位のコンポーネント及びそれに直接含まれるコンポーネントの情報を含めることが必要です。
4.3 SBOMの構成要素
SBOMの各コンポーネントについて、以下の情報を明示する必要があります。
- サプライヤの名前
- コンポーネントの名前
- バージョン
- 固有識別子
- 上流のコンポーネントとの関係
- 作成者名(これらの情報を作成した組織名または担当者名)
- タイムスタンプ(情報を登録した日時)
これらの詳細については、製販向け手引書通知の附属書Aソフトウェア部品表(SBOM)の扱いを参照することが推奨されています。
4.4 セキュリティ試験の実施
ソフトウェアシステム試験にてセキュリティ要求事項を満たし有効であることを確認する必要がありますが、リスクマネジメントプロセスで特定した脅威に対する方法が実装され、有効であることが確認できれば、第三者試験であることは必須ではありません。試験の実施にあたっては、特定した脅威に対する対策の有効性を実証することが重要となります。
まとめ
医療機器のサイバーセキュリティ対応は、令和5年3月31日の基本要件基準第12条第3項の改正によって、すべての製造販売業者にとって避けて通れない重要な課題となりました。特に、プログラム医療機器やネットワーク接続機器では、不正アクセスや脆弱性への対応体制を明確にし、JIS T 81001-5-1への適合性を確保することが求められます。
本Q&A集では、改正要件の解釈や実務上の疑問に対する具体的な対応方法が整理されています。例えば、SBOM(ソフトウェア部品表)の作成と管理、セキュリティ窓口の明確化、脆弱性開示手順の整備、トランジションヘルスソフトウェアの適用による既存品目への対応など、企業が直面する重要なテーマが網羅されています。これらは単なる形式的な対応ではなく、今後の承認・認証申請や継続的な運用において、規制当局から厳しく確認されるポイントとなります。
特に既存品目については、令和6年4月1日以降の継続製造販売にあたって、改正後の基本要件基準への適合確認と関連文書の整備が必要です。早期にリスクアセスメントを実施し、受容できないリスクがないことを明確にすることが重要です。セキュリティ対策の不備は、承認申請の遅延や製品回収リスクにも直結するため、計画的な対応が欠かせません。
弊社(一般社団法人薬事支援機構)では、JIS T 81001-5-1適合支援、SBOM作成・管理の導入サポート、承認・認証申請書への記載例や文書テンプレートの提供など、サイバーセキュリティ要件への対応を実務的に支援しています。医療機器のサイバーセキュリティ対応に関する具体的なご相談や社内体制の整備にお悩みの方は、ぜひお気軽にお問い合わせください。
