2023年3月9日に改正された「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第41条第3項の規定により厚生労働大臣が定める医療機器の基準」(2005年(平成17年)厚生労働省告示第122号。以下「基本要件基準」という。)にて、サイバーセキュリティに関する要求事項が第12条第3項として新設されました。
基本要件基準に規定される第12条第3項は、2023年4月1日より適用されました。サイバーリスクが懸念される医療機器は、1年間の経過措置期間を経て2024年4月1日より、改正後の基本要件基準第12条第3項に適合することが求められております。
解説資料及びセミナー動画
登録認証機関向けトレーニングとして行った、サイバーセキュリティに係るセミナー動画をYouTube(PMDA Channel)にて公開しました。
各セクションの「スライドショー」は、YouTube上の動画のリンクです。
「ノート」は、セミナー動画のスライド及びセリフを記載しております。
なお、これらは2024年4月1日付けでHP公表分です。
| プレゼンテーション資料 | 読み原稿 | セミナー動画 | |
|---|---|---|---|
| 医療機器のサイバーセキュリティについて | スライド | ノート | スライドショー |
| 医療機器のサイバーセキュリティ要件に対するJIS T 81001-5-1の適用について | スライド | ノート | スライドショー |
| サイバーセキュリティに係る規格について (IEC 81001-5-1:2021) |
スライド | ノート | スライドショー |
基本要件基準第12条第3項
プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。
また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。
厚生労働省のホームページでも、医療機器におけるサイバーセキュリティについてまとめたページが公表されていますので、参考にしてください。
医療機器におけるサイバーセキュリティ関連通知
基本要件基準第12条第3項制定前
| 通知番号等 | 表題 | |
|---|---|---|
| 1 | 2015年(平成27年)4月28日 薬食機参発0428第1号・薬食安発0428第1号 | 医療機器におけるサイバーセキュリティの確保について |
| 2 | 2018年(平成30年)7月24日 薬食機参発0724第1号・薬食安発0724第1号 | 医療機器のサイバーセキュリティの確保に関するガイダンスについて |
| 3 | 2020年(令和2年)5月13日 薬生機審発0513第1号・薬生安発0513第1号 | 国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則 及び実践に関するガイダンスの公表について(周知依頼) |
| 4 | 2020年(令和2年)10月7日 事務連絡 | 臨床試験におけるサイバーセキュリティインシデントについて |
| 5 | 2021年(令和3年)6月28日 事務連絡 | 医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起) |
| 6 | 2021年(令和3年)8月23日 事務連絡 | 医療機器のオペレーティングシステムに係る脆弱性への対応について(注意喚起) |
| 7 | 2021年(令和3年)10月20日 事務連絡 |
「医療情報システムの安全管理に関するガイドライン」に関する「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」について |
| 8 | 2021年(令和3年)11月26日 事務連絡 | 医療機関を標的としたランサムウェアによるサイバー攻撃について(再注意喚起) |
| 9 | 2022年(令和4年)3月1日 事務連絡 | 医療機器等に関するサイバーセキュリティ対策の強化について(要請) |
| 10 | 2022年(令和4年)11月10日 事務連絡 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起) |
基本要件基準第12条第3項制定後
| 通知番号等 | 表題 | |
|---|---|---|
| 1 | 2023年(令和5年)3月31日 薬生機審発0331第8号 | 医療機器の基本要件基準第12条第3項の適用について |
| 2 | 2023年(令和5年)3月31日 薬生機審発0331第11号・薬生安発0331第4号 | 医療機器のサイバーセキュリティ導入に関する手引書の改訂について |
| 3 | 2023年(令和5年)3月31日 医政参発0331第1号・薬生機審発0331第16号・薬生安発0331第8号 | 医療機関における医療機器のサイバーセキュリティ確保のための手引書について |
| 4 | 2023年(令和5年)5月23日 薬生機審発0523第1号 | 医療機器の基本要件基準第12条第3項の適合性の確認について |
| 5 | 2023年(令和5年)7月20日 事務連絡 | 医療機器の基本要件基準第12条第3項の適用に関する質疑応答集(Q&A)について |
| 6 | 2024年(令和6年)1月15日 医薬安発0115第2号 | 医療機器サイバーセキュリティに関する不具合等報告の基本的考え方について |
| 7 | 2024年(令和6年)1月31日 事務連絡 | 医療機器のサイバーセキュリティに関する質疑応答集(Q&A)について |
IMDRF文書
| 表題 | IMDRF Code | 発行年月日 | 原文 | 邦訳 | |
|---|---|---|---|---|---|
| 1 | Essential Principles of Safety and Performance of Medical Devices and IVD Medical Devices | IMDRF/GRRP WG/N47FINAL:2018 | 2018年11月7日 | ||
| 2 | Principles and Practices for Medical Device Cybersecurity (医療機器サイバーセキュリティの原則及び実践) |
IMDRF/CYBER WG/N60FINAL:2020 | 2020年4月20日 | ||
| 3 | Principles and Practices for the Cybersecurity of Legacy Medical Devices (レガシー医療機器のサイバーセキュリティの原則及び実践) |
IMDRF/CYBER WG/N70FINAL:2023 | 2023年4月11日 | ||
| 4 | Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity (医療機器サイバーセキュリティのためのソフトウェア部品表の原則及び実践) |
IMDRF/CYBER WG/N73FINAL:2023 | 2023年4月13日 |