医療機器サイバーセキュリティ支援サービス（JIS T 81001-5-1）

2023年4月1日、医療機器の基本要件基準に「サイバーセキュリティを確保するための要件」が追加されました。
今後の医療機器開発においては、製品ライフサイクルの全てにおいてサイバーセキュリティを確保するための設計及び製造が求められます。

富士ソフトでは、医療機器サイバーセキュリティ対策に関する各種支援サービスをご提供しております。
「コンサルティングサービス」「リスクアセスメントサービス」「脆弱性診断サービス」「脆弱性監視サービス」等、お客様のご要望に沿ったご支援が可能です。
まずはお気軽にご相談ください！！

サイバーセキュリティ対策が医療機器の基本要件基準に！

2023年4月1日、医療機器の基本要件基準が改正され、サイバーセキュリティを確保するための要件が追加されました。
今後、承認（認証・届出）を受ける医療機器は、ライフサイクル全体を通じてサイバーセキュリティを確保するように設計及び製造されていなければなりません。

●医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定に基づき厚生労働大臣が定める医療機器の基準（医療機器の基本要件基準）

厚生労働省告示第六十七号（令和五年三月九日）

第十二条
３（新設）
プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。

医療機器サイバーセキュリティ要件追加までの経緯

医療機器のサイバーセキュリティ対策については、これまでも必要な対策を行うよう厚労省より周知が行われてきました。
世界的に増加する医療機器へのサイバー攻撃に対し、IMDRF（International Medical Device Regulators Forum：国際医療機器規制当局フォーラム）は、医療機器のサイバーセキュリティ確保の重要性や各国のサイバーセキュリティ対策の実情等を踏まえ、国際的な調和を図ることを目的とした「医療機器サイバーセキュリティの原則及び実践（通称：IMDRFガイダンス）」を発行しました。
このガイダンスを日本でも導入することとなり、今回の医療機器の基本要件基準の改正へとつながりました。

医療機器の基本要件基準の改正に伴い、厚生労働省より「基本要件基準第12条第3項の取扱いについて*」の通知が発出されており、第12条第3項の「趣旨」「要点・解釈」「適用・適合性の確認について」が記載されています。
この通知の中で、「JIS T 81001-5-1」への適合性の確認をもってサイバーセキュリティ対策に関する要件への適合とする旨が明記されています。

今後の医療機器開発においては、厚生労働省から発行された「医療機器のサイバーセキュリティ導入に関する手引書*」の内容を理解し、「JIS T 81001-5-1」に準拠したサイバーセキュリティ対策が必須となります。

*医療機器の基本要件基準第 12 条第３項の適用について(薬生機審発0331第8号令和5年3月31日)
*医療機器のサイバーセキュリティ導入に関する手引書の改訂について(薬生機審発0331第11号令和5年3月31日)

「手引書」と「JIS T 81001-5-1」の概要

●医療機器のサイバーセキュリティ導入に関する手引書

国際整合化されたサイバーセキュリティの水準を日本において満たすために必要な、医療機器の製造からサポート終了までのTPLC（Total Product Life Cycle：製品ライフサイクル）における要求事項をまとめたもので、主に医療機器製造販売業者向けの手引書となります。

●JIS T 81001-5-1
ヘルスソフトウェア及びヘルスＩＴシステムの安全，有効性及びセキュリティ―第５－１部：セキュリティ―製品ライフサイクルにおけるアクティビティ

医療機器に組み込むソフトウェアを含むヘルスソフトウェアのためのプロセス規格で、医療機器を含むヘルスケア機器の製造業者によるセキュリティに関する取り組みを規定し、JIS T 2304（医療機器ソフトウェアライフサイクルプロセス規格）に適用した開発を進める上で実施するサイバーセキュリティに関する取り組みを規定しています。