を採用することによって、セキュリティコントロールが効果的に実施されていることを証明するととも
に、セキュリティの対応状況を評価することによって、既知の（すでに確認され、国際的に広く開示され
ている）脆弱性（少なくとも重大（「致命的（Critical）」又は「ハイリスク」
）と判定された脆弱性）がコ
ードに含まれていないことを証明する必要がある。この際、静的コード解析、動的解析、堅牢性試験、ソ
フトウェアコンポジション解析、ファジング等の一般的セキュリティ試験に加えて、脆弱性スキャンとも
呼ばれる STIGs（Security Technical Implementation Guides)基準の達成度の確認又は CIS（Center for
Internet Security) ベンチマーク等のセキュリティアセスメントツールを利用した定量的セキュリティ
評価等を利用して可視化する活動が有効である。セキュリティの対応状況を客観的に評価する活動は、市
販前に実施し、その結果を設計のインプットに反映し、文書化するだけでなく、市販後においても繰り返
し評価を実施し、その結果を文書化する必要がある。当該試験では、医療機器が使用される状況及び医療
機器が他の機器・ネットワーク等に接続される環境を考慮すること。この定量的セキュリティ評価の結果
は、SBOM に記載されているソフトウェアに存在する脆弱性への対応状況を確認するためにも利用可能
である。
ただし、製品に導入したソフトウェアに取り除けない既知の脆弱性が存在した場合、それが如何なる手
段を持っても悪用されないという妥当な証拠があれば、これを設計文書に記載し、説明可能とする。
意図する使用及び予見可能な誤使用に起因する危険性を評価し、合理的に実行可能な限り除去した上
でもなお、脆弱性が悪用された場合に予見可能な患者の安全に対する影響が大きい製品は、侵入試験を実
施する場合もある。これらの試験について、経済産業省が策定した「情報セキュリティサービス基準」に
適合したと認められた事業者の脆弱性診断サービス（IPA 提供）や同省に登録された登録認証機関による
第三者試験も利用可能である。
5.4.

TPLC サイバーセキュリティマネジメント計画

製造販売業者は、製品のセキュリティポリシーとして、次の事項を規定し、市販前の段階で具体化して
計画し、必要なプロセス及び組織を確立・維持する。
TPLC を通じた脆弱性の監視
脆弱性の開示：脆弱性発見者からの情報を集約した上で、緩和及び修正策を開発し、脆弱性の存在
及び緩和又は修正方法をステークホルダーに開示するための正式なプロセス
アップデート及び脆弱性の修正：医療機器の安全性及び性能を継続的に維持するための、定期的
な、若しくは特定された脆弱性に対するソフトウェアのアップデート又は修正作業の実施
重要データや患者情報のバックアップ：製造販売業者及び使用者が、バックアップを実施するため
の機能及び手順
復旧：製造販売業者、使用者のいずれか又は両者が、サイバーセキュリティのインシデント後に、

11

12 / 39