サイバーセキュリティガイダンスパブコメ募集

医療機器のサイバーセキュリティ導入に関する手引書パブリックコメント募集

厚生労働省が、2021年10月7日より「医療機器のサイバーセキュリティ導入に関する手引書（案）」に関するパブリックコメントの募集を開始した。
11月5日（金）まで受付けている。

意見の提出方法等の詳細についてはこちらのページを参照されたい。

医療機器のサイバーセキュリティ導入に関する手引書（案）の概要

厚生労働省は「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について（周知依頼）」（薬生機審発0513第1号/薬生安0513第1号）において 国際的な規制調和の推進の観点や国境の枠組みを超えて医療機器のサイバーセキュリティに係る安全性を向上させる観点から、我が国においても、今後3年程度を目途に、医療機器製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っている旨を公表していた。

今回のパブリックコメント対象である「医療機器のサイバーセキュリティ導入に関する手引書（案） 」はIMDRFガイダンスを日本において導入するために作成された文書である。

医療機器のサイバーセキュリティ導入に関する手引書（案）の特徴

「医療機器のサイバーセキュリティ導入に関する手引書（案） 」の特徴は以下の通り。

• IMDRFガイダンスの内容を基本としたものであり、かつ
• AMED 医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」（研究開発代表者：公益財団法人医療機器センター専務理事 中野壮陛氏）」における検討内容を踏まえ日本の状況にあわせて必要な編纂がなされたものである
• IMDRF における検討の動向に沿って、適宜改訂又は追補等が行われる

医療機器のサイバーセキュリティ導入に関する手引書（案）の目的

「医療機器のサイバーセキュリティ導入に関する手引書（案） 」は、IMDRF ガイダンスの要求事項を踏まえ、医薬品医療機器等法を遵守し、医療機器の品質、有効性及び安全性を確保するために、製造販売業者が、日本の医療機器に対して導入するための対応及び組織的な取組みを行うための情報を提供するものである。

これによって製造販売業者が適切な対応を実施し、その結果、製品ライフサイクル全体（Total Product Life Cycle / TPLC）を通じサイバーセキュリティに関するリスクを低減し、医療機器製品の安全性と基本性能を確保することで、患者への危害の発生及び拡大の防止に繋げることを目的としている。

医療機器のサイバーセキュリティ導入に関する手引書（案）の適用範囲
無線又は有線により、メディア媒体を含む他の機器・ネットワーク等との接続が可能なプログラムを用いた医療機器（ソフトウェア単独で医療機器となる医療機器プログラム（Software as a Medical Device: SaMD）を含む）及びプログラムを用いた附属品等に関するサイバーセキュリティを対象としている。

対象とするサイバーセキュリティリスクは以下の通りである。

• 製品の性能に影響を与える
• 臨床活動に影響を与える
• 誤った診断、治療又は予防に繋がる

なお、データプライバシー等の情報セキュリティに係るリスクについては対象とされていない。

TPLCをとおしたサイバーセキュリティ対応

「 医療機器のサイバーセキュリティ導入に関する手引書（案） 」ではTPLCをとおしたサイバーセキュリティ対応を求めている。

• 設計・開発段階におけるサイバーセキュリティリスクマネジメント、アーキテクチャ設計やセキュリティ試験に関する事項
• 顧客向け文書に関する事項
• 当局に対する申請資料に関する事項
• 市販後の情報収集・情報共有・インシデント対応等に関する事項

等について、製品ライフサイクルの流れに沿って留意・実行すべき事項が規定されている。

さらに詳細な情報はこちら。