いことが容易に想定される医療機器については、アップデートの適用方法等に特別な配慮が必要となる。
なお、サードパーティ製ソフトウェアコンポーネントの影響を評価した上で、製品としての影響がない
と評価された場合は、アップデートに代えてその旨のセキュリティアドバイザリーを提供することも重
要な活動である。
6.5.

インシデントへの対応

製造販売業者は、市販後のセキュリティ対策として、次を実施する。
インシデントに対する緊急対応
製造販売業者は、実際に発生した事象又は、発生しているかもしれない事象について、医療機器
及び信頼境界内の不正アクセス、脆弱性の悪用の可能性等を調査し次の不正利用の有無及び状況
を把握する。
A.

医療機器の設定情報の不正な変更

B.

診断・治療に対する不正な変更又は無効化

C.

機密データの喪失、改竄又は開示

D. 医療機器の機能停止、誤動作又は不正動作
E.

他の機器・システムへの拡散

マルウェア等の感染が認められた場合は、定められた手順に従って、それを除去する。また、必
要に応じて、除去前に感染経路等把握のためのデータ取得を実施する。
ネットワークへ外部から過剰なアクセスやデータ等の負荷が掛けられている場合は、医療機器
側の必要ポート以外の閉鎖に加え、パケットフィルタリング等が強化されたファイアウォール、
IPS（表 3 参照）等によって防御する。
予防的計画的な活動となるセキュリティ点検
コンピューター・マルウェアは、感染したとしても、所定の動作を起こさず、上記 A-E を発生さ
せないまま、機器の中に残存している場合がある。このため、製造販売業者は、定期点検等の計
画された作業において、マルウェアの検疫を実施し、マルウェアが検出された場合はこれらを除
去する機会を提供する。これは、予防的活動として効果的であり、残留リスクの低減につながる。
規制当局等への不具合等の報告
製造販売業者は、医療機器への不正アクセス、マルウェア等への感染、ネットワークへの過剰負
荷等によって、医療機器の不具合が実際に発生した場合、医薬品医療機器等法に基づき、独立行
政法人医薬品医療機器総合機構（PMDA)に対する不具合等報告の要否を検討する。報告様式や報
告基準、報告期限等については医薬品医療機器等法施行規則に従う他、
「医療機器の不具合等報告

18

19 / 39