どんな通知なのかを説明したいと思う。
- 医療機器の基本要件基準第12条第3項の適用について(令和5年3月31日薬生機審発0331第8号)(PDF,155KB)
- 医療機器のサイバーセキュリティ導入に関する手引書の改訂について(令和5年3月31日薬生機審発0331第11号・薬生安発0331第4号)(PDF,1435KB)
- 医療機関における医療機器のサイバーセキュリティ確保のための手引書について(令和5年3月31日医政参発0331第1号・薬生機審発0331第16号・薬生安発0331第8号)(PDF,971KB)
「医療機器の基本要件基準第12条第3項の適用について」の医療機器の基本要件基準とは何か
PMDAに詳しい説明資料があるのでこれを参照して欲しい。
簡単にいうと、薬機法(法律)で医療機器は認証基準への適合が必要となっていて、基本要件基準第41条にて、厚生労働大臣は必要な基準を設けることができるとある。医療機器の基本要件基準は厚労省からの告示によって示されている。
医療機器の基本要件基準の第12条は、「プログラムを用いた医療機器の対する配慮」で、今回 第12条の 3項にサイバーセキュリティ要求が追加された。
実は第12条2項は 2017年5月に追加されたJIS T 2304(医療機器ソフトウェア―ソフトウェアライフサイクルプロセス)への適合を求めた追加だった。
第12条3項は、2023年3月9日に追加の告示が発出されている。今回 出た通知は、第12条3項の施行に関する通知となる。
医療機器の基本要件基準第12条第3項
3.プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部から不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能の支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。
これが追加された第12条3項の内容になる。この3項の説明が冒頭の3/31付けの通知1 に書かれている。その内容を紹介する。
趣旨
基本要件基準は、医療機器が具備すべき品質、有効性及び安全性に係る基本的な要件を規定したものであり、医療機器に対しリスクマネジメントの適用によってリスクを許容可能な範囲まで低減することが要求されている。
サイバーセキュリティ対策については、「医療機器におけるサイバーセキュリティの確保について」(平成27年4月28日付け薬食機参発0428第1号及び薬食安発0428第1号)、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成30年7月24日付け薬生機審発0724第1号及び薬生安発0724第1号)等において必要な対応を行うよう求めてきたところであるが、今般、令和2年3月に国際医療機器規制当局フォーラム(IMDRF)において、「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」が取りまとめられたことに伴い、IMDRF N47文書(Essential Principles of Safety and Performance of Medical Devices and IVD Medical Devices)及びN60文書(Principles and Practices for Medical Device Cybersecurity)を踏まえ、プログラムを用いた医療機器に対しサイバーセキュリティを確保するための設計及び製造、ライフサイクル活動として、①製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること、②サイバーリスクを低減する設計及び製造を行うこと、③適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定すること、の3つの観点を基本要件基準に盛り込むこととし、基本要件基準第12条に第3項を追加する改正を行ったものである。
要約すると、
IMDRF N47文書、N60文書をベースにしている。
- 製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること
- サイバーリスクを低減する設計及び製造を行うこと
- 適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定すること
の3つの観点を基本要件基準に盛り込んだということになる。
IMDRFの成果として有名なのが、MDSAP(医療機器単一審査プログラム)で、各国とも ISO 13485 (ISO 9001 の医療機器版)を医療機器製造販売業者に求めているが、国によって微妙に異なる部分を各国統一部分+差分という形にして、1回審査をパスすれば、それぞれの国で審査し直さなくてもよいというプログラムを作った。これによって、米国の非常に厳しい査察を定期的に受ける必要がなくなった。(全体としては米国の審査基準に近づいたので米国以外の審査としてはハードルが上がったと言える)
IMDRF はN60文書として医療機器の対するサイバーセキュリティのガイダンスを発行していて、冒頭の2の文書が、IMDRF N60文書の日本適用版という位置づけになっている。
冒頭1の施行通知の解説を続ける。
(1) 「プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器」とは、他の機器(医療機器、IoT機器、周辺機器、外部記録媒体(USB、SD、HDD、CD、DVD等)、電子カルテ、PC(外部からの持ち込みPC含む))、ネットワーク(院内システム、院外システム、グローバル)等に接続して電磁的情報のやり取りをする医療機器である。
ここは対象となる医療機器の説明をしてる。
・他の機器にネットワーク等に接続して電磁的情報をやり取りする医療機器が対象。
(2)「外部からの不正アクセス及び攻撃アクセス等」は、脆弱性を攻撃対象とする等の設計者が通常使用において想定していない手法等を用いた悪意を持った不正アクセスや、意図的に過剰な負荷を与えたる攻撃(DoS攻撃(Denial Service Atttack)、DDoS攻撃(Distributed Denial of Service Attack)等)、マルウェア(悪意のあるソフトウェア)の感染を意図する攻撃によるアクセス等を想定している。昨今のサイバー攻撃についてはその攻撃形式が多様化・高度化しており、今後はこれらの攻撃手法の他にも対応することも必要となり得る。
ここは、外部からの不正アクセス及び攻撃アクセスの説明。
(3)「動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し」とは、医療機関、在宅、救急、植込み型機器等の動作環境並びに接続するネットワーク種別やオペレーティングシステム及び各種ライブラリ等のプラットフォームといった使用環境を特定し、その使用環境に適した運用体制等を含めた医療機器の意図する使用に適切な要件を設定することである。
使用環境の特定について説明と、医療機器の意図する使用と使用環境の要件を設定すること。
(4)「当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理」とは、他のリスクと同様に、サイバーセキュリティに係るリスクに対しても、適切にリスクマネジメントを行い、例えば、JIS T 81001-5-1に示されている通り、サイバーセキュリティの脆弱性を特定し、その悪用によって生じる脅威や悪影響に伴うリスクを評価し、適切にリスクをコントロールすることである。
サイバーセキュリティのリスクを評価する。悪用によって生じる脅威や悪影響に伴うリスクを評価し、リスクをコントロールする。
(5)「ライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造」とは、全ライフサイクルにわたってサイバーセキュリティを確保するため、設計・製造工程における取組だけでなく、医療機関との連携、脆弱性対策(市販後のアップデート等を含む)に係る計画等も踏まえ、それが達成できるように、また、問題点や脆弱性が見つかった場合に対応できるように設計・製造を行うことである。
設計・製造工程における取り組みだけでなく、脆弱性対策、医療機関への報告、連携を計画し、達成する。
JIS T 81001-5-1 とは IEC 81001-5-1 の JIS版で、「ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ-第5-1部」というタイトルの規格だ。
IEC 81001-5-1は、IEC 62443-4-1 の要求事項を IEC 62304 のプロセスに当てはめた形の規格 であり、すでに産業用の制御システムのセキュリティ規格として存在していた IEC 62443-4-1 を医療機器のライフサイクルプロセスに置き換えた規格だ。
実は、この規格をJIS化するにあたっては、通常は2~3年かかる作業を約1年という短い期間で実現している。これは、厚労省が 医療機器の基本要件基準 のサイバーセキュリティ要求の適合と示すために、この規格を使おうと考えていたからだ。
冒頭1の通知では、「例えば、JIS T 81001-5-1に示されている・・・」というように、JIS T 81001-5-1 以外の規格を使ってもいいよというニュアンスで説明しているが、実際のところは「JIS化したんだから、JIS T 81001-5-1 に適合しろよ」といった本音がにじみでている。
IEC 81001-5-1 のような国際規格を日本が世界に先駆けて医療機器規制に使うというのは非常に珍しいことで、これまではEUが規制に取り入れてから、日本も追随するというパターンだった。
サイバーセキュリティに関しては日本の特に医療分野、医療機器分野では対応が遅れているとされていたため、今回は厚労省が世界に先駆けて、医療機器への規制を強化したといえる。
冒頭の通知3は、医療機関向けのサイバーセキュリティに関するガイダンスになる。
サイバーセキュリティは、医療機器製造業者だけでも医療機関だけでも達成することはできない、両者と規制当局は医療情報システムの提供者などが協力してはじめて達成できる。
よって、各者の情報開示や、レガシーシステムに対する補完的対策などが重要になってくるため、医療機器製造者向けのガイダンスと医療機関向けのガイダンスの両方が発出されている。
また、現行のシステムが医療機関においてどのようなネットワークにつながっているのか、また、どのようなセキュリティ対策(=信頼境界があるのか)、どのような脅威が想定されるのかを分析すること(=脅威分析)が必要であり、医療機器製造販売業者は、今度、脅威分析図、システム構成図を医療機関に示すことが必須になってくる。
このとき使うのが脅威モデリング(データフローダイアグラムを使うのが一般的)だ。
今後、このブログの中で脅威モデリングの説明をしていきたいと考えている。
プログラム医療機器を開発しようとしてる方は、まず3月31日付けで発出された3つの通知をよく読んで内容を理解することをお勧めする。
