厚生労働省は、医療機器の製造販売業者によるサイバーセキュリティ対応のためのSBOM(ソフトウェア部品表)導入・運用ガイドラインの第1版を公表し、19日から意見募集(パブリックコメント)を開始した。締め切りは6月19日。
医療機器分野では、国内の基本要件基準や海外当局のガイダンスにおいてサイバーセキュリティ要求が強化されており、ソフトウェア構成の透明性確保が重要性を増している。特に、長期間使用される医療機器では、オープンソースソフトウェア(OSS)や既製(OTS)ソフトウェアを含むソフトウェアコンポーネントの管理不備が、脆弱性の長期放置につながるリスクが指摘されている。医療機関側からも、脆弱性公表時に影響範囲を迅速に把握できないなど、情報提供不足への課題が挙がっており、製造販売業者による説明責任の強化が求められている。
SBOMは、医療機器に組み込まれるソフトウェアの構成要素(OSS、OTS、自社開発モジュール等)の一覧と属性情報を体系的に記録する情報基盤であり、単なる部品リストではなく、脆弱性管理、ライセンス管理、ライフサイクル管理の根拠となる構成情報であり、製造販売業者の品質保証および市販後対応を支える中核的なデータとされる。
ガイドラインでは、導入にあたっては、米国商務省電気通信情報局(NTIA)の最小要素を踏まえ、コンポーネント名、サプライヤー名、バージョン、固有識別子、関係、作成者、タイムスタンプ等を基本項目とする考え方を提示。コンポーネントハッシュについても、脆弱性照合や完全性確保の観点から付与が推奨されている。また、フォーマットはSPDX(2.3以上)およびCycloneDX(1.6以上)を基本とし、機械可読性と相互運用性の確保を重視する。規制当局提出時には、機械可読ファイルに加え、人間可読の一覧資料の併用が望ましいとされる。
運用の基本方針としては、「段階的導入」が強調されている。まず第1段階では、SBOMの作成・更新体制を整備し、対象製品について構成情報を管理できる状態を確立する。第2段階として、脆弱性管理、ライセンス管理、EOL/EOS管理を既存のQMSや市販後安全管理に統合し、製品ライフサイクル全体にわたるリスクマネジメントの中核情報として活用する方向性を示している。
ガイドラインは、A4版本文39ページで目次や文献、用語など含め全部で48ページある。
パブコメ資料:https://public-comment.e-gov.go.jp/pcm/detail?CLASSNAME=PCMMSTDETAIL&id=495260047&Mode=0
*この記事は生成AIを利用して作成しました。
「医療機器・化粧品」の記事に関するご意見・お問合せは下記へ。
担当者:河辺
E-mail:kawabe_s@yakuji.co.jp
TEL:03-3866-8499
