医療機関等に関するサイバーセキュリティ対策の強化

医療機関等に関するサイバーセキュリティ対策の強化について（要請）

2022年3月1日付で厚生労働省から「医療機器等に関するサイバーセキュリティ対策の強化について（要請）」と題する事務連絡が発出された。
おそらく、先日のトヨタ関連企業へのサイバー攻撃を受けて発出されたものと思われる。
要請の本文は経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁及び内閣官房内閣サイバーセキュリティセンターの連名で出されているため、医療機器に限らず種々の産業界に対して発出しているものと思われる。

本邦における医療機器サイバーセキュリティガイダンスに関しては、2023年度を目途にIMDRFガイダンスをもとにした通知が発出される予定である。
医療機器において、セキュリティホールを持ったOS、オープンソースなどを使用した場合、サーバーテロやウィルスの感染などのリスクがある。
サイバーセキュリティで重要なことは、医療機器製品にセキュリティホールを発見した場合、すみやかに医療機関等のユーザに告知し、ネットワークから切り離すなどの措置をとってもらわないといけない。そのための連絡体制を事前に取り決めておく必要があるだろう。
また信頼できるルートで医療機関等へ連絡することが重要で、ホームページなどに公開してはならない。もし一般に公開してしまえば、テロリストの格好の標的となってしまうだろう。
その際、すみやかにパッチを作成し、配布することも重要である。
中小企業等は、セキュリティホールを発見したとしても、告知をためらうことがあるかも知れない。何故ならば、製品の販売が滞ってしまうためである。しかしながら、放置した場合、多大な被害が発生するかも知れない。
さらに、過去に出荷した製品が医療機関等で使用されている限りは、サイバーセキュリティに関するサポートは継続するべきである。
サポートを打ち切らなければならない場合は、事前に取り決めておいた時期までにユーザに通知することが必要である。

関連商品

[blogcard url=”https://ecompliance.co.jp/SHOP/MD-QMS-358.html” title=”サイバーセキュリティ規程・手順書”
content=”IoT機器等の基盤となる通信技術の進歩に伴い、今後も医療機器が医療機関のネットワーク、他の医療機器または電子機器と接続される機会がさらに増加することが想定されます。
これにより医療機器がデータ通信による外部からの不正な侵入のリスクに晒される機会が増加することになります。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。

厚労省は2021年12月24日に「医療機器のサイバーセキュリティ導入に関する手引書」を発出しました。
2023年度には、サイバーセキュリティの確保が基本要件基準に明記され、医療機器の品目申請において審査対象となる模様です。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

本サイバーセキュリティ規程・手順書は、IMDRF（国際医療機器規制当局フォーラム）が、2020年3月18日に発出した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則および実践）」および厚労省の「医療機器のサイバーセキュリティ導入に関する手引書」を遵守できるようになっています。
MS-Word形式ですので、貴社の組織や製品に合わせて自由にカスタマイズして頂けます。”
]

[blogcard url=”https://xn--2lwu4a.jp/qms-md/” title=”QMS（手順書）ひな形　医療機器関連” ]