JIS T 81001-5-1とは

JIS T 81001-5-1は、ヘルスソフトウェア／医療機器ソフトウェアのライフサイクルにおけるセキュリティ活動を扱う規格です。設計から市販後までを通じて、セキュリティをどのようにプロセスへ組み込むかが問われます。

最初に確認すべき項目

• 現状プロセスとのギャップ：自社の開発・保守プロセスに、規格が求めるセキュリティ活動がどこまで含まれているか。
• リスク分析・脅威分析の有無：設計段階での脅威分析が行われ、文書化されているか。
• SBOM・脆弱性管理：構成部品が把握され、既知脆弱性に対応できる仕組みがあるか。
• 市販後管理：脆弱性情報の収集、パッチ提供、当局報告のフローが整理されているか。
• 文書化：上記の活動が、審査・監査で説明できる形で文書化されているか。

進め方

いきなり全てを完璧に揃えるのではなく、ギャップ分析で現在地を把握し、優先順位をつけてロードマップを作るのが現実的です。