6.2.

情報共有

情報共有は、サイバーセキュリティの脅威及び脆弱性を管理するための基本的な活動である。製造販売
業者は、医療機器について、市販前に立案されたサイバーセキュリティマネジメント計画に基づき、市販
後に国内外で確認されたサイバーセキュリティの脅威及び脆弱性に関する情報並びにその他の医療機器
の適正なセキュリティ対策のために必要な情報を、医薬品医療機器等法に基づき継続的に収集、分析する
とともに、それを医療機関へ提供する。
一方、我が国で発生したインシデント等であっても、その医療機器が稼働している可能性がある国・地
域の必要な全関係者に対して、各国・地域の規制に応じた情報共有が必要となる場合があることに留意が
必要である。例を挙げるとすれば、公開された脆弱性に対する、影響を受ける製品及び影響の内容、アッ
プデートやその他の緩和策の利用可能性又は計画等を記述したセキュリティアドバイザリー（セキュリ
ティ報告）等がある。製造販売業者がホームページに掲載したり、場合によっては直接顧客に届けたりす
る場合もあるかもしれない。緊急性が高い場合等、より国際的に一貫性のある情報を可能な限り同時に情
報共有していくためには、規制当局や ISAO/CERT と連携して情報の発出に積極的に協力する。また、サ
イバーセキュリティの特性から適切な情報更新が必要である。
情報共有のコミュニケーションは、共有された情報が商業的な優位性を得るために使用されるべきで
はないことを理解して、必要に応じて書面による合意をもって設定することが望ましい。情報共有を促進
する方法の一つとして、共有される情報の匿名化を考慮する。
患者等への健康被害を防ぐ観点から医療機器の製造販売業者が使用者等との間で共有すべき情報とし
ては、次の事項が挙げられる。
当該医療機器に影響を及ぼす又は及ぼす可能性がある脆弱性情報及びその予見可能な影響の内容
当該医療機器で使用していない又は直接影響を受けないが、当該医療機器以外の医療機器又は医
療機関のヘルス IT ネットワークシステムにおいて、ネットワーク接続を通して、当該医療機器に
影響を及ぼす可能性があるコンポーネントの脆弱性情報
医療機器のセキュリティに影響し得る IT 機器の情報
攻撃又は潜在的な攻撃に関する情報及び悪用コードの利用可能性に関する情報
インシデント発生時の確認事項
パッチ及びその他の緩和策（補完的対策等）の利用可能性
暫定処置としての医療機器の使用と結合に関する追加指示
製造販売業者が使用者等へ共有する情報には、修正策がすぐに利用できない場合等、必要に応じて脅威
の緩和策及び方法も含める。例えば、医療機器に影響する脆弱性を緩和するための IT 機器の構成、既知

15

16 / 39