概要
令和5年3月31日、厚生労働省医薬・生活衛生局医療機器審査管理課から、医療機器のサイバーセキュリティに関する重要な通知が発出されました。本通知は、医療機器の基本要件基準第12条に新たに第3項を追加し、プログラムを用いた医療機器のサイバーセキュリティ対策を法的に義務化するものです。
この改正は、国際医療機器規制当局フォーラム(IMDRF)が取りまとめた「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」を踏まえ、医療機器に対するサイバー攻撃の脅威から患者の安全を守るための重要な施策となっています。令和5年4月1日から適用が開始され、1年間の経過措置期間が設定されており、令和6年4月1日までは従前の例によることができます。
1. 基本要件基準第12条第3項の背景と目的
1.1 サイバーセキュリティ対策強化の背景
医療機器におけるサイバーセキュリティ対策については、平成27年から段階的に強化が図られてきました。平成27年4月28日には「医療機器におけるサイバーセキュリティの確保について」が、平成30年7月24日には「医療機器のサイバーセキュリティの確保に関するガイダンスについて」が発出され、製造販売業者等に必要な対応を求めてきました。
しかしながら、医療機器へのサイバー攻撃は年々高度化・多様化しており、より強固な対策が必要となっています。令和2年3月に国際医療機器規制当局フォーラム(IMDRF)において「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」が取りまとめられたことを受け、我が国でも国際的な基準に合わせた法整備が必要となりました。
1.2 改正の主要な内容
今回の改正では、IMDRF N47文書(Essential Principles of Safety and Performance of Medical Devices and IVD Medical Devices)及びN60文書(Principles and Practices for Medical Device Cybersecurity)を踏まえ、プログラムを用いた医療機器に対しサイバーセキュリティを確保するための設計及び製造、ライフサイクル活動として、以下の3つの観点を基本要件基準に盛り込むこととしました。
第一に、製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えることです。
第二に、サイバーリスクを低減する設計及び製造を行うことです。
第三に、適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定することです。
2. 基本要件基準第12条第3項の具体的要求事項
2.1 対象となる医療機器の定義
「プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器」が対象となります。これには、他の機器(医療機器、IoT機器、周辺機器、外部記録媒体(USB、SD、HDD、CD、DVD等)、電子カルテ、PC(外部からの持ち込みPC含む)、ネットワーク(院内システム、院外システム、グローバル)等に接続して電磁的情報のやり取りをする医療機器が含まれます。
この定義は非常に広範囲に及び、現代の医療機器の多くが該当することになります。単独で動作する医療機器であっても、データの入出力のために外部記録媒体を使用する場合や、保守・メンテナンスのために一時的にネットワークに接続する場合も対象となる可能性があります。
2.2 想定すべき脅威と攻撃
「外部からの不正アクセス及び攻撃アクセス等」として想定すべき脅威には、脆弱性を攻撃対象とする等の設計者が通常使用において想定していない手法等を用いた悪意を持った不正アクセスが含まれます。また、意図的に過剰な負荷を与える攻撃(DoS攻撃、DDoS攻撃等)、マルウェア(悪意のあるソフトウェア)の感染を意図する攻撃によるアクセス等も想定する必要があります。
昨今のサイバー攻撃についてはその攻撃形式が多様化・高度化しており、今後はこれらの攻撃手法の他にも対応することも必要となり得ることが明記されています。製造販売業者等は、継続的に新たな脅威を把握し、対策を更新していく必要があります。
2.3 使用環境の特定と要件設定
「動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し」とは、医療機関、在宅、救急、植込み型機器等の動作環境並びに接続するネットワーク種別やオペレーティングシステム及び各種ライブラリ等のプラットフォームといった使用環境を特定することを意味します。
その使用環境に適した運用体制等を含めた医療機器の意図する使用に適切な要件を設定することが求められます。これには、必要最小限のハードウェア仕様、ネットワーク要件、セキュリティ対策の要件などが含まれます。
2.4 リスクマネジメントの実施
「当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理」とは、他のリスクと同様に、サイバーセキュリティに係るリスクに対しても、適切にリスクマネジメントを行うことを意味します。
例えば、JIS T 81001-5-1に示されている通り、サイバーセキュリティの脆弱性を特定し、その悪用によって生じる脅威や悪影響に伴うリスクを評価し、適切にリスクをコントロールすることが必要です。
2.5 ライフサイクル全体でのセキュリティ確保
「ライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造」とは、全ライフサイクルにわたってサイバーセキュリティを確保するため、設計・製造工程における取組だけでなく、医療機関との連携、脆弱性対策(市販後のアップデート等を含む)に係る計画等も踏まえることを指します。
問題点や脆弱性が見つかった場合に対応できるように設計・製造を行うことが求められており、これには製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること、サイバーリスクを低減する設計及び製造を行うこと、適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定することの3つの観点を基本要件基準に盛り込むこととし、基本要件基準第12条に第3項を追加する改正を行ったものです。
3. 適合性確認のための具体的な実施事項
3.1 適用すべき規格と基準
製造販売業者等は、JIS T 2304(医療機器ソフトウェアライフサイクルプロセス)によって、医療機器ソフトウェアライフサイクル全体を通じて、適切なリスクマネジメントを実施することにより、医療機器の安全性と基本性能を確保することが求められてきました。
これに加えて、JIS T 81001-5-1(ヘルスソフトウェア及びヘルス ITシステムの安全、有効性及びセキュリティ-第5-1部:セキュリティ-製品ライフサイクルにおけるアクティビティ)によって、製品ライフサイクルにおける取組を通じたサイバーセキュリティ対策をより強化し、サイバーセキュリティに関するリスクを許容可能な範囲となるまで低減し、患者への危害の発生及び拡大の防止に繋げる必要があります。
3.2 国際規格への適合による確認
JIS T 81001-5-1の他、プログラムを用いた医療機器のサイバーセキュリティの確保について、IEC 81001-5-1等の国際的に用いられている適切な規格等への適合性を確認することをもって基本要件基準第12条第3項への適合を確認したものとして差し支えないとされています。
ただし、承認申請(承認事項一部変更承認申請を含む)又は認証申請(認証事項一部変更認証申請を含む)に際しては、それらの規格等を用いることの妥当性を説明することが必要です。
3.3 体制整備と記録保管
製造販売業者等は、プログラムを用いた医療機器のサイバーセキュリティの確保の確認及び検証を適切に考慮及び実施する体制を整備し、その適合に関する確認等の実施を適切に記録し保管することが求められています。
医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号)第23条の2の5第7項又は第23条の2の23第4項の規定による調査の調査権者の求めなどに応じて資料を提示し、適切な説明を行わなければならないことも明記されています。
3.4 申請時の資料添付要件
高度管理医療機器又は管理医療機器の承認申請又は認証申請を行う製造販売業者等は、申請に当たり、当該医療機器についてJIS T 81001-5-1等への適合性を示す資料を添付する必要があります。
一般医療機器についても同様に適合性を確認する必要がありますが、届出の際に資料の添付は要さないとされています。ただし、調査権者の求めに応じて資料を提示できるよう準備しておく必要があります。
4. 経過措置の詳細と対応スケジュール
4.1 経過措置期間の設定
本改正で追加される基本要件基準第12条第3項は令和5年4月1日より適用されますが、令和6年3月31日までの間、なお従前の例によることができることとされています。この1年間の経過措置期間は、製造販売業者等が適切な対応を行うための準備期間として設定されています。
4.2 既存医療機器の取扱い
改正後の基本要件基準が適用される令和6年3月31日以前に承認若しくは認証を受けた医療機器又は届出された医療機器については、改めて申請・届出を行う必要はないとされています。
ただし、承認認証事項又は届出事項に何らかの変更が生じる等により、令和6年4月1日以降に当該医療機器の承認又は認証事項一部変更申請が必要な場合にあっては、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合を示す資料を添付することが必要です。
なお、令和6年4月1日以降に製造販売する医療機器は、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を求めに応じて提示できるようにしておく必要があります。
4.3 新規申請・届出の取扱い
令和6年3月31日以前に承認申請若しくは認証申請又は届出される医療機器については、承認申請又は認証申請若しくは届出時に、改正後の基本要件基準への適合を示す資料を添付する必要はないものとされています。
令和6年4月1日以降に承認申請若しくは認証申請を行う医療機器については、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を添付する必要があります。届出を行う医療機器についても、改正後の基本要件基準への適合を確認することが必要です。
5. 製造販売業者等が取るべき対応
5.1 体制整備の重要性
製造販売業者等は、サイバーセキュリティに関する専門知識を有する人材の確保や育成、組織体制の整備が急務となっています。特に、サイバーセキュリティリスクの評価、対策の実施、継続的な監視と改善を行うための体制構築が重要です。
また、医療機関との連携体制の構築も重要な要素となります。脆弱性情報の共有、インシデント発生時の対応手順の確立、定期的な情報交換などを通じて、医療現場でのサイバーセキュリティを確保する必要があります。
5.2 技術的対策の実装
技術的な対策として、セキュアな設計・開発プロセスの導入、脆弱性診断の実施、暗号化技術の適用、アクセス制御の実装などが必要となります。また、市販後の脆弱性対策として、セキュリティパッチの提供体制、リモートアップデート機能の実装なども検討する必要があります。
特に、医療機器の特性を考慮した対策が重要であり、患者の安全性を最優先としながら、セキュリティと利便性のバランスを取ることが求められます。
5.3 文書化と記録管理
サイバーセキュリティに関する取組みを適切に文書化し、記録として保管することが法的に義務付けられています。リスクアセスメントの結果、対策の実施記録、インシデント対応記録、教育訓練記録などを体系的に管理する必要があります。
これらの記録は、規制当局による調査時に提示を求められる可能性があるため、いつでも提出できるよう適切に管理しておくことが重要です。
まとめ
医療機器の基本要件基準第12条第3項の追加は、医療機器のサイバーセキュリティ対策を法的に義務化する大きな転換点です。特に、プログラムを用いた医療機器を製造・販売する企業は、令和6年4月1日の完全適用に向け、早期に体制・技術・文書管理の整備を進める必要があります。
本改正では、①製品ライフサイクル全体でのセキュリティ確保、②リスクマネジメントの徹底、③使用環境に応じた要件設定が重要なポイントです。JIS T 81001-5-1などの規格に基づいた対応が、申請時・調査時に求められることになります。
弊社(一般社団法人薬事支援機構)では、サイバーセキュリティ対応の体制構築、JIS T 81001-5-1対応資料の整備、申請書類への反映など、実務面での支援を行っています。
自社の対応方針やQMS体制に不安がある場合は、ぜひお気軽にご相談ください。
