1.国内・海外のサイバーセキュリティ関連の行政通知、標準規格、ガイダンス等のポイント
a)国内
•行政通知
•基本要件基準
•3省2ガイドライン
•個人/患者情報の保護、プライバシーポリシー
b)海外(米国)
•FDA通知及びガイドライン
•IMDRFガイドライン
•その他関連団体の規格・ガイドライン
※上記b):国際整合性の観点で行政発出文書のベース。
c)EU(欧州連合)
•医療機器規制(MDR)のセキュリティ要件
•ネットワーク・情報システムの安全に関する指令(NIS、NIS2)
d)標準規格類
•IEC 81001-1及び81001-5-1、IEC 62304、ISO 27000シリーズ規格
•製造元開示説明書(MDS)の各セキュリティ機能
•IEC 81001-5-1とIEC 62304の関係(ソフトウェア構成管理に関して)
2.重要な要求事項
顧客向け文書としての製造元開示情報、ソフトウェア部品表等。製品がサイバーセキュリティ面で安全であること示す。
a)サイバーセキュリティポリシー文書の目的、解説と例示
b)製造元開示説明書(MDS2)の目的、解説と例示
c)ソフトウェア部品表(SBOM)の目的、解説と例示
d)製品寿命及びサービス終了時期
e)リスクコントロールの要約文書
3.サイバー攻撃対策・個人情報保護
a)対策のポイント
フローチャートによる例示。サイバー攻撃発生時、情報提供、データ保護など
b)情報管理の社内体制
情報資産の管理、脅威への対応ルール、適切な人材
c)QMS一部としてのサイバーセキュリティ対策
設計開発段階からのサイバー攻撃を想定、対策案の実装と検証
d)サイバーセキュリティ情報に関する秘密保持
4.海外製造元とのセキュリティ関連コミュニケーション
a)サイバーセキュリティ情報の定期的アップデート確認
b)セキュリティ対策によるソフトウェア更新
e)承認・認証申請に必要なサイバーセキュリティ文書請求
f)製造元専有情報(Propriatary information)と知的財産への配慮