急ピッチで整備が進む国内の医療関連サイバーセキュリティ規制医療サイバーセキュリティ最新動向(2)(2/2 ページ)

» 2024年01月17日 07時00分 公開
前のページへ 1|2       

医療機器/医療情報システムメーカー向けの規制動向

 ここからは、医療機器メーカーや医療情報システムメーカーに向けた規制の動向を説明します。

医療機関への製造業者/サービス事業者による医療情報セキュリティ開示書

 先述の通り、医療情報システムについては「提供事業者ガイドライン」と「チェックリスト」への対応が必要です。

 事業者確認用のチェックリストでは、2023年度中に実施すべき事項として、「医療機関への製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」※)の提出が求められていることに留意が必要です。MDS/SDSとは、安全管理ガイドラインに記載された「最低限のガイドライン」への対応状況を示すことで、安全管理ガイドラインへの適合性を医療機関に示すものです。つまり、医療情報システムメーカーは、医療機関に対して、2023年度中にチェックリストに加えてMDS/SDSの提出を実施しなければなりません。

※)医療機関への製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical Information Security)

医療機器のサイバーセキュリティ導入に関する手引書

 医療機器については、2020年5月に、医療機器のサイバーセキュリティ確保の重要性や各国のサイバーセキュリティ対策の実情などを踏まえて、IMDRF(国際医療機器規制当局フォーラム)において、サイバーセキュリティ対策の国際的な調和を図ることを目的として「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」が周知されました。これを受けて国内でも2021年12月に、厚生労働省から医療機器製造販売業者向けに「医療機器のサイバーセキュリティ導入に関する手引書」(以下、製販業者向け手引書)が周知されました。

「医療機器のサイバーセキュリティ導入に関する手引書」で示されている製造販売事業者の役割 「医療機器のサイバーセキュリティ導入に関する手引書」で示されている製造販売事業者の役割[クリックで拡大]

医療機器の要件基準

 そして2023年3月31日、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準」(以下、医療機器の基本要件基準)の改正が通知され、サイバーセキュリティの確保が義務付けられました。医療機器の基本要件基準には、第12条第3項が新設されています。

 また同日通知された「医療機器の基本要件基準第12条第3項の適用について」によって、JIS T 81001-5-1(ヘルスソフトウェア及びヘルスITシステムの安全、有効性及びセキュリティ―第5―1部:セキュリティ―製品ライフサイクルにおけるアクティビティ)を医療機器の基本要件基準第12条第3項の適合性の確認における参照規格とすることが示されています。

 医療機器の基本要件基準は、2023年4月1日から適用されていますが、2024年3月31日までの経過措置期間が設定されています。

医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準 第12条第3項

「他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない」

厚生労働省「医療機器の基本要件基準第12条第3項の適用について」

3,基本要件基準第12条第3項の適合性の確認について

「JIS T 81001―5―1の他、プログラムを用いた医療機器のサイバーセキュリティの確保について、IEC 81001―5―1等の国際的に用いられている適切な規格等への適合性を確認することをもって基本要件基準第12条第3項への適合を確認したものとして差し支えないこと」

JIS T 81001-5-1の要求事項 JIS T 81001-5-1の要求事項[クリックで拡大]

 JIS T 81001-5-1は、医療機器に組み込むソフトウェアを含むヘルスソフトウェアのためのプロセス規格です。医療機器を含むヘルスケア機器の製造業者によるセキュリティに関する取り組みを規定し、JIS T 2304(医療機器ソフトウェアライフサイクルプロセス規格)のライフサイクルの要求事項に適用した開発を進める上で実施するサイバーセキュリティに関する取り組みが規定されています。



 これら国内の規制動向により、医療機器メーカーや医療情報システムメーカーは、ますますサイバーセキュリティを確保するためのさまざまな対応が求められています。次回は、医療機器メーカーが取るべき対応について説明します。

筆者プロフィール

富士ソフト 降籏信也

富士ソフトに入社以来、多数の医療機器開発プロジェクトに従事。医療機器ソフトウェアの国際規格であるIEC 62304に対応するためのコンサルティングを始め、医療機器サイバーセキュリティへの対応(IEC 81001-5-1)、医療情報を安全に取り扱うための3省2ガイドラインへの対応など、医療法規制に対応するためのコンサルタントとして活動している。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.