Strengthening Cyber Security Measures for Medical Institutions (Request)
On March 1, 2022, the Ministry of Health, Labour and Welfare (MHLW) issued an administrative communication titled “Reinforcement of Cyber Security Measures Concerning Medical Devices, Etc. The Ministry of Health, Labour and Welfare (MHLW) issued an administrative communication titled “Strengthening of Cyber Security Measures Concerning Medical Devices (Request).
Presumably, this was issued in response to the recent cyber attack on Toyota-related companies.
The request is jointly issued by the Ministry of Economy, Trade and Industry, the Financial Services Agency, the Ministry of Internal Affairs and Communications, the Ministry of Health, Labor and Welfare, the Ministry of Land, Infrastructure, Transport and Tourism, the National Police Agency, and the Cabinet Cyber Security Center, Cabinet Secretariat, so it is assumed that it is issued to various industries, not just medical devices.
With regard to medical device cybersecurity guidance in Japan, a notice based on the IMDRF guidance is expected to be issued by FY2023.
In medical devices, the use of operating systems with security holes, open source, etc., poses the risk of server terrorism and virus infection.
An important aspect of cyber security is that if a security hole is discovered in a medical device product, the user, such as a medical institution, must be notified promptly, and measures such as disconnecting the product from the network must be taken. A communication system for this purpose should be established in advance.
It is also important to contact medical institutions through reliable channels. If it were released to the public, it would be a prime target for terrorists.
It is also important to promptly create and distribute patches.
Small and medium-sized enterprises (SMEs) may be hesitant to announce a security hole even if they find one. This is because sales of the product will be delayed. However, if left unchecked, it could cause a great deal of damage.
Furthermore, support for cybersecurity should continue as long as products shipped in the past are used by medical institutions.
If support must be terminated, the user must be notified by a previously agreed-upon time.
related product
[blogcard url=”https://ecompliance.co.jp/SHOP/MD-QMS-358.html” title=”サイバーセキュリティ規程・手順書”content=”IoT機器等の基盤となる通信技術の進歩に伴い、今後も医療機器が医療機関のネットワーク、他の医療機器または電子機器と接続される機会がさらに増加することが想定されます。
これにより医療機器がデータ通信による外部からの不正な侵入のリスクに晒される機会が増加することになります。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
厚労省は2021年12月24日に「医療機器のサイバーセキュリティ導入に関する手引書」を発出しました。
2023年度には、サイバーセキュリティの確保が基本要件基準に明記され、医療機器の品目申請において審査対象となる模様です。
ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。
1. 検査装置・診断装置:検査の中断や誤った診断に至る可能性
2. 治療に用いられる装置:治療の中断等の事象の発生の可能性
3. 放射線治療の線量等の計算プログラム:過量照射や不十分な量の照射が発生する可能性
本サイバーセキュリティ規程・手順書は、IMDRF(国際医療機器規制当局フォーラム)が、2020年3月18日に発出した「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則および実践)」および厚労省の「医療機器のサイバーセキュリティ導入に関する手引書」を遵守できるようになっています。
MS-Word形式ですので、貴社の組織や製品に合わせて自由にカスタマイズして頂けます。”
]
[blogcard url=”https://xn--2lwu4a.jp/qms-md/” title=”QMS(手順書)ひな形 医療機器関連” ]
]]>
Comment