　事業者確認用のチェックリストでは、2023年度中に実施すべき事項として、「医療機関への製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS）」^※）の提出が求められていることに留意が必要です。MDS／SDSとは、安全管理ガイドラインに記載された「最低限のガイドライン」への対応状況を示すことで、安全管理ガイドラインへの適合性を医療機関に示すものです。つまり、医療情報システムメーカーは、医療機関に対して、2023年度中にチェックリストに加えてMDS／SDSの提出を実施しなければなりません。

※）医療機関への製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS：Manufacturer / Service Provider Disclosure Statement for Medical Information Security）

医療機器のサイバーセキュリティ導入に関する手引書

　医療機器については、2020年5月に、医療機器のサイバーセキュリティ確保の重要性や各国のサイバーセキュリティ対策の実情などを踏まえて、IMDRF（国際医療機器規制当局フォーラム）において、サイバーセキュリティ対策の国際的な調和を図ることを目的として「医療機器サイバーセキュリティの原則及び実践（IMDRFガイダンス）」が周知されました。これを受けて国内でも2021年12月に、厚生労働省から医療機器製造販売業者向けに「医療機器のサイバーセキュリティ導入に関する手引書」（以下、製販業者向け手引書）が周知されました。

「医療機器のサイバーセキュリティ導入に関する手引書」で示されている製造販売事業者の役割［クリックで拡大］

医療機器の要件基準

　そして2023年3月31日、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準」（以下、医療機器の基本要件基準）の改正が通知され、サイバーセキュリティの確保が義務付けられました。医療機器の基本要件基準には、第12条第3項が新設されています。

　また同日通知された「医療機器の基本要件基準第12条第3項の適用について」によって、JIS T 81001-5-1（ヘルスソフトウェア及びヘルスITシステムの安全、有効性及びセキュリティ―第5―1部：セキュリティ―製品ライフサイクルにおけるアクティビティ）を医療機器の基本要件基準第12条第3項の適合性の確認における参照規格とすることが示されています。

　医療機器の基本要件基準は、2023年4月1日から適用されていますが、2024年3月31日までの経過措置期間が設定されています。

医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準第12条第3項

「他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない」

厚生労働省「医療機器の基本要件基準第12条第3項の適用について」

3,基本要件基準第12条第3項の適合性の確認について

「JIS T 81001―5―1の他、プログラムを用いた医療機器のサイバーセキュリティの確保について、IEC 81001―5―1等の国際的に用いられている適切な規格等への適合性を確認することをもって基本要件基準第12条第3項への適合を確認したものとして差し支えないこと」

JIS T 81001-5-1の要求事項［クリックで拡大］

　JIS T 81001-5-1は、医療機器に組み込むソフトウェアを含むヘルスソフトウェアのためのプロセス規格です。医療機器を含むヘルスケア機器の製造業者によるセキュリティに関する取り組みを規定し、JIS T 2304（医療機器ソフトウェアライフサイクルプロセス規格）のライフサイクルの要求事項に適用した開発を進める上で実施するサイバーセキュリティに関する取り組みが規定されています。

　これら国内の規制動向により、医療機器メーカーや医療情報システムメーカーは、ますますサイバーセキュリティを確保するためのさまざまな対応が求められています。次回は、医療機器メーカーが取るべき対応について説明します。

筆者プロフィール

富士ソフト降籏信也

富士ソフトに入社以来、多数の医療機器開発プロジェクトに従事。医療機器ソフトウェアの国際規格であるIEC 62304に対応するためのコンサルティングを始め、医療機器サイバーセキュリティへの対応（IEC 81001-5-1）、医療情報を安全に取り扱うための3省2ガイドラインへの対応など、医療法規制に対応するためのコンサルタントとして活動している。

・富士ソフトWebサイトの降籏氏執筆記事まとめ

≫連載「医療サイバーセキュリティ最新動向」のバックナンバー
医療分野で急増するサイバー攻撃、政府の対応はどこまで進んでいるのか
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第1回は、医療分野で急増するサイバー攻撃の状況と日本政府の対応を取り上げる。
米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由
本連載第8回で取り上げた米国の「非医療機器（Non-SaMD）」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。
米国で急加速するゲノムデータのサイバーセキュリティ対策
本連載第84回および第88回で米国のバイオエコノミー研究開発推進施策を取り上げたが、その中からサイバーセキュリティ対策の進捗状況について取り上げる。
欧州はGDPRを起点にデータ保護エンジニアリングへ、医療分野はじめ新産業創出も
本連載第83回で、保健データ越境利用の社会実装に向けたEUの制度的仕組みづくりを取り上げたが、技術面では、GDPRを起点とするプライバシー保護技術の標準化と産業創出支援の活動が進んでいる。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。