間近に迫る国内医療セキュリティ規制対応の期限、デッドラインは2024年3月末にも：医療サイバーセキュリティ最新動向（3）（2/3 ページ）

[伊藤健（富士ソフト），MONOist]

3省2ガイドラインへの対応

　提供事業者は「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下、提供事業者ガイドライン）への対応が必要です。

　提供事業者ガイドラインでは、セキュリティに関する一律の要求事項を定めることはせず、医療情報システムごとにセキュリティリスクを洗い出した上で対策を講じる、リスクベースアプローチという方針が取られています。また、その具体的な流れは、リスクマネジメントプロセスとして示されています。

3省2ガイドラインへの対応で求められるリスクマネジメントプロセス［クリックで拡大］ 出所：経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」P24（2023年7月7日）

　リスクマネジメントプロセスは「リスクアセスメント」「リスク対応」「記録作成及び報告」の3つのステージに分かれます。

　リスクアセスメントでは、医療情報システムの全体構成や情報流を明らかにし、脅威が顕在化した場合のリスクの特定や分析、評価を行い、対応要否を検討します。

　リスク対応では、各リスクへの対応方針を選択し、具体的な対応策を設計／評価するとともに、残存するリスクを評価します。

　記録作成および報告では、リスクアセスメントやリスク対応の結果や、提供事業者ガイドラインが示す医療機関へ情報提供すべき事項、医療機関との役割分担等について文書化します。具体的な文書例は、「サービス仕様適合開示書」「サービスレベル合意書」「リスク対応計画」「運用管理規程」などが挙げられます。

　ここで作成した文書は、提供事業者と医療機関とでリスクコミュニケーションを図るために使用します。

医療機器メーカーは今何をすべきか

　次に、診断や治療などに用いられる医療機器のメーカーが取るべき対応を見ていきましょう。

　医療機器を製造販売する事業者（以下、医療機器事業者）が取るべき対応は「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準」（以下、基本要件基準）の第12条第3項への対応です。

基本要件基準第12条第3項

　基本要件基準第12条第3項には、以下の3つの観点が盛り込まれています。

• 製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること
• サイバーリスクを低減する設計および製造を行うこと
• 適切な動作環境に必要となるハードウェア、ネットワークおよびITセキュリティ対策の最低限の要件を設定すること

適合性の確認

　基本要件基準第12条第3項への適合は、JIS T 81001-5-1（ヘルスソフトウェアおよびヘルスIT システムの安全、有効性およびセキュリティ−第5−1部：セキュリティ−製品ライフサイクルにおけるアクティビティー）への適合性を確認することをもって行います。

　サイバーセキュリティ対策の国際調和を図ることから、厚生労働省から通知された「医療機器のサイバーセキュリティ導入に関する手引書」も重要とされます。

経過措置

　基本要件基準第12条第3項は2023年4月1日から適用され、1年間の経過措置期間が設けられています。2024年3月31日までの間は、従前の例によることができるとされています。この1年という経過措置期間の短さは異例ともいえます。従来は、3年程度の経過措置期間が設けられることが一般的でした。サイバーセキュリティ対策は待ったなしの状況であることから、1年という非常に短い期間が設定されたものと考えられます。

　経過措置期間に前後する医療機器の承認／認証申請や届け出の対応は以下の通りです。

• 2024年3月31日以前に承認／認証申請や届け出がされた医療機器は、あらためて申請や届け出を行う必要はない
• 2024年3月31日以前に承認／認証申請や届け出を行う医療機器は、申請や届け出を行う時に基本要件基準第12条第3項への適合を示す資料を添付する必要はない
• 2024年4月1日以降に承認／認証申請を行う医療機器は、基本要件基準第12条第3項への適合を確認の上、適合を示す資料を添付する必要がある。届け出を行う医療機器は、適合の確認を行うが、適合を示す資料を添付する必要はない
• 2024年4月1日以降に承認／認証事項一部変更申請を行う医療機器は、基本要件基準第12条第3項への適合を確認の上、適合を示す資料を添付する必要がある