製造販売業者は、販売開始（商用リリース）
、EOL 及び EOS に際して、表 2 に示す情報を医療機関に
提供する。
表2

各マイルストーンにおける医療機関に提供する情報
提供する情報

マイルストーン
セキュリティポリシー

EOL 及び EOS 計画（日程）
販売開始（商用リリース）

アップグレードオプション
取扱説明書、セキュリティ文書

SBOM、MDS2
保守計画（限定的サポート段階含む）
EOL の通知

製品寿命終了 EOL

EOS 計画
その他の更新情報

サポート終了 EOS

EOS の通知
保守計画を除くその他の更新情報

EOL から EOS の間は限定的サポート段階と呼ばれ、計画された開発は EOL までに終了しており、セ
キュリティアップデート、特定の部品・材料供給のみの提供となる。限定的サポート段階は、最終的なサ
ポート終了への移行又は製品のアップグレード・置き換えに対して、製造販売業者及び医療機関が協調し
準備する移行期間となる。EOS 後は全てのサポートが終了となる。このため、EOS 後は、最新アップデ
ートの導入等の最低限の対策が行われたとしても、
「未知の脆弱性は考慮することが難しい」ため、すぐ
にレガシー医療機器となる可能性がある。
医療機関が医療機器を EOS 後も使用する場合、その責任は医療機関にあるため、予め医療機関との認
識を共有することが重要である。ただし、EOS 後においても、医療機器において発生した脆弱性を含む
不具合等に関する情報収集義務（医薬品医療機器等法 68 条の 2 の 6 第１項）及び行政報告義務（医薬品
医療機器等法 68 条の 10 第１項）は製造販売業者に残る。EOS 後の継続した使用に関しては、決して推
奨できる状態ではないことは、全てのステークホルダーが理解しておかねばならず、そのために製造販売
業者は顧客との連携を行い、顧客への説明責任を果たす必要がある。
サイバーセキュリティが設計開発段階で十分配慮されていない製品が、そのまま市場に存在している
場合は、既にレガシー医療機器となっている可能性があることに留意されたい。この場合、製造販売業者
は、ファイアウォール等の補完的対策を検討すると同時に、速やかに顧客との連携を行い、顧客への説明
責任を果たす必要がある。
セキュリティに関しては、老朽化の理由のみでその製品がレガシー医療機器であると判断してはなら

21

22 / 39