よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (30 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
②-2
対策項目で対応できる
内容
潜在的な技術的脆弱性が特定された場合に
リスクシナリオ例
区分
企画管理編
(パッチ適用、設定変更等)を決定する。
修正パッチの適用前にパッチが改竄されてい
編
項番
区分
◎
は、リスク分析を行った上で必要な処置
②-3
関連する医療情報安全管理ガイドライン要求事項
15.技術的な安全管理対策の
管理
内容
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
◎
⑥
ないこと及び有効性を検証する。
15.技術的な安全管
理対策の管理
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
る安全管理措置
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
るシステム・機器についても同様である。
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
【遵守事項】
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
8.利用機器・サービスに対す
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
システム運用編
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
②-4
オペレーティングシステムのアップグレー
◎
ド、セキュリティパッチの適用を行う場合、
医療情報システム等に対する影響を評価し、
試験結果を確認してから実施する。
③医療情報システム等
③-1
への脆弱性診断の実施
提供するアプリケーションについては、アプ
◎
医療情報システム等に設定不備や古い
リケーションの種別による特定の脆弱性検出
バージョン利用等の脆弱性が混入し、
を含む安全性診断を定期的に行い、その結果
攻撃に悪用される。
に基づいて対策を行う。医療機関等とのデー
④
企画管理編
タ送受信の際にはデータの完全性を検証する
機構を導入する。
③-2
アプリケーションの安全性診断は提供してい
対して、情報機器等における状況(ソフトウェアやファームウェアのアップデートの状
企画管理編
況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、適宜必要な対応
④
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用する
に用いる情報機器等の
のに適切な状況にあることを定期的に確認すること。確認にあたっては、企画管理者
資産管理
に対して、情報機器等における状況(ソフトウェアやファームウェアのアップデート
の状況、脆弱性に関する対応状況等)が適切なものとなっていることを確認するよう
指示し、報告を受け、適宜必要な対応を行うこと。
〇
く、別途、試験環境を用意して行うことが望
企画管理編
ましい。
開発されたソフトウェアの脆弱性検出をソー
情報機器等の資産管理
た状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に
【遵守事項】
を行うこと。
るサービスに対して直接実施するのではな
③-3
9.医療情報システムに用いる
9.医療情報システム
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適し
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
〇
⑥
スコードレベルで行うことが望ましい。
15.技術的な安全管
理対策の管理
システム運用編
8.利用機器・サービスに対す
る安全管理措置
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
【遵守事項】
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
せて、外形的な脆弱性検査を行う。
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
るシステム・機器についても同様である。
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
レベルではなく、アプリケーションを動作さ
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
提供を要求できない場合には、ソースコード
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
パッケージソフトウェア等、ソースコードの
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
④最新の脆弱性に関す
④-1
る情報の収集
アプリケーション及びアプリケーション稼動
◎
新しく発見された脆弱性を狙って急増
に利用する第三者のソフトウェア(ライブラ
する攻撃への対処が遅れ、被害を受け
リ、サーバプロセス等)については、公開さ
る。
れる最新の脆弱性情報を参照し、迅速に対応
企画管理編
9.医療情報システムに用いる
情報機器等の資産管理
【遵守事項】
医療情報システム等の脆弱性に関する情報
9.医療情報システム
④
た状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に
に用いる情報機器等の
のに適切な状況にあることを定期的に確認すること。確認にあたっては、企画管理者
資産管理
に対して、情報機器等における状況(ソフトウェアやファームウェアのアップデート
対して、情報機器等における状況(ソフトウェアやファームウェアのアップデートの状
企画管理編
況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、適宜必要な対応
策をとる。
④-2
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適し
④
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用する
の状況、脆弱性に関する対応状況等)が適切なものとなっていることを確認するよう
を行うこと。
指示し、報告を受け、適宜必要な対応を行うこと。
◎
は、JPCERTコーディネーションセンター
(JPCERT/CC)、内閣サイバーセキュリ
ティセンター(NISC)、独立行政法人情報処
理推進機構(IPA)等の情報源から、定期的
企画管理編
及び必要なタイミングで取得し、確認する。
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
⑥
15.技術的な安全管
理対策の管理
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
る安全管理措置
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
るシステム・機器についても同様である。
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
【遵守事項】
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
8.利用機器・サービスに対す
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
システム運用編
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
⑤IoT機器に関する情報
⑤-1
IoT機器の利用を含むサービスを提供する場
◎
IoT機器について製造販売業者が想定し
収集及び脆弱性への対
合、医療機関等との役割分担について、医療
ていない利用方法により、脆弱性が生
応
機関等と合意する。
じる。
⑥
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
用管理規程を定めること。
システム運用編
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
⑥
システム運用
るシステム・機器についても同様である。
編
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
8.利用機器・サービ
る。シ
スに対する安全管理措
30/39
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には
製品出荷後にファームウェア等に関する脆弱性が発見されること
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
②-2
対策項目で対応できる
内容
潜在的な技術的脆弱性が特定された場合に
リスクシナリオ例
区分
企画管理編
(パッチ適用、設定変更等)を決定する。
修正パッチの適用前にパッチが改竄されてい
編
項番
区分
◎
は、リスク分析を行った上で必要な処置
②-3
関連する医療情報安全管理ガイドライン要求事項
15.技術的な安全管理対策の
管理
内容
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
◎
⑥
ないこと及び有効性を検証する。
15.技術的な安全管
理対策の管理
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
る安全管理措置
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
るシステム・機器についても同様である。
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
【遵守事項】
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
8.利用機器・サービスに対す
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
システム運用編
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
②-4
オペレーティングシステムのアップグレー
◎
ド、セキュリティパッチの適用を行う場合、
医療情報システム等に対する影響を評価し、
試験結果を確認してから実施する。
③医療情報システム等
③-1
への脆弱性診断の実施
提供するアプリケーションについては、アプ
◎
医療情報システム等に設定不備や古い
リケーションの種別による特定の脆弱性検出
バージョン利用等の脆弱性が混入し、
を含む安全性診断を定期的に行い、その結果
攻撃に悪用される。
に基づいて対策を行う。医療機関等とのデー
④
企画管理編
タ送受信の際にはデータの完全性を検証する
機構を導入する。
③-2
アプリケーションの安全性診断は提供してい
対して、情報機器等における状況(ソフトウェアやファームウェアのアップデートの状
企画管理編
況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、適宜必要な対応
④
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用する
に用いる情報機器等の
のに適切な状況にあることを定期的に確認すること。確認にあたっては、企画管理者
資産管理
に対して、情報機器等における状況(ソフトウェアやファームウェアのアップデート
の状況、脆弱性に関する対応状況等)が適切なものとなっていることを確認するよう
指示し、報告を受け、適宜必要な対応を行うこと。
〇
く、別途、試験環境を用意して行うことが望
企画管理編
ましい。
開発されたソフトウェアの脆弱性検出をソー
情報機器等の資産管理
た状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に
【遵守事項】
を行うこと。
るサービスに対して直接実施するのではな
③-3
9.医療情報システムに用いる
9.医療情報システム
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適し
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
〇
⑥
スコードレベルで行うことが望ましい。
15.技術的な安全管
理対策の管理
システム運用編
8.利用機器・サービスに対す
る安全管理措置
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
【遵守事項】
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
せて、外形的な脆弱性検査を行う。
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
るシステム・機器についても同様である。
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
レベルではなく、アプリケーションを動作さ
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
提供を要求できない場合には、ソースコード
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
パッケージソフトウェア等、ソースコードの
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
④最新の脆弱性に関す
④-1
る情報の収集
アプリケーション及びアプリケーション稼動
◎
新しく発見された脆弱性を狙って急増
に利用する第三者のソフトウェア(ライブラ
する攻撃への対処が遅れ、被害を受け
リ、サーバプロセス等)については、公開さ
る。
れる最新の脆弱性情報を参照し、迅速に対応
企画管理編
9.医療情報システムに用いる
情報機器等の資産管理
【遵守事項】
医療情報システム等の脆弱性に関する情報
9.医療情報システム
④
た状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に
に用いる情報機器等の
のに適切な状況にあることを定期的に確認すること。確認にあたっては、企画管理者
資産管理
に対して、情報機器等における状況(ソフトウェアやファームウェアのアップデート
対して、情報機器等における状況(ソフトウェアやファームウェアのアップデートの状
企画管理編
況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、適宜必要な対応
策をとる。
④-2
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適し
④
医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用する
の状況、脆弱性に関する対応状況等)が適切なものとなっていることを確認するよう
を行うこと。
指示し、報告を受け、適宜必要な対応を行うこと。
◎
は、JPCERTコーディネーションセンター
(JPCERT/CC)、内閣サイバーセキュリ
ティセンター(NISC)、独立行政法人情報処
理推進機構(IPA)等の情報源から、定期的
企画管理編
及び必要なタイミングで取得し、確認する。
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
⑥
15.技術的な安全管
理対策の管理
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
る安全管理措置
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
る。シ
ステムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアップデートを必要
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
るシステム・機器についても同様である。
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
用管理規程を定めること。
【遵守事項】
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
⑥
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
8.利用機器・サービスに対す
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
システム運用編
⑥
システム運用
編
なタ
8.利用機器・サービ
スに対する安全管理措
置
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されること
がある。システムやサービスの特徴を踏まえ、IoT機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接
(3)使用が終了した又は不具合のために使用を停止したIoT機器をネットワークに接続した
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。
まま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
⑤IoT機器に関する情報
⑤-1
IoT機器の利用を含むサービスを提供する場
◎
IoT機器について製造販売業者が想定し
収集及び脆弱性への対
合、医療機関等との役割分担について、医療
ていない利用方法により、脆弱性が生
応
機関等と合意する。
じる。
⑥
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシ
ステム・機器についても同様である。
(1)IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機
器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運
用管理規程を定めること。
システム運用編
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
⑥
システム運用
るシステム・機器についても同様である。
編
(1) IoT機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該
(2)IoT機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがあ
8.利用機器・サービ
る。シ
スに対する安全管理措
30/39
IoT機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属す
医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱い
に係る運用管理規程を定めること。
(2) IoT機器には
製品出荷後にファームウェア等に関する脆弱性が発見されること