表 1. 医療機器の設計における検討事項に対する設計原則
説

設計原則

明

製造販売業者は、外部からの入力だけでなく、全ての入力を検証
する設計機能を検討し、セキュリティが不十分な通信しかサポー
トしていない機器及び環境（ホームネットワークに接続された機
器やレガシー機器等）との通信を考慮する。
セキュアな通信

製造販売業者は、医療機器の送受信データ通信を不正アクセス、
不正な改変又は反射攻撃から保護する手法について検討する。例
えば、製造販売業者は、医療機器/システム間通信の相互認証方法、
暗号化の要否、既に送信されたコマンド又はデータの不正再送を
防ぐ方法、予め定めた設定時間後に通信を切断する妥当性等につ
いて検討する。
製造販売業者は、医療機器に保存される又は送受信される安全

データ保護

性に関連するデータを暗号化等によって保護する必要性について
検討する。例えば、パスワードは、暗号学的に安全なハッシュとし
て保存する。
製造販売業者は、監査ログ機能のサポート等のデータの否認防
止を確保できる設計特性の要否を判断するために、システムレベ
ルのアーキテクチャーを評価する。

機器の完全性

製造販売業者は、機器のソフトウェアに対する不正な改変等、医
療機器の完全性に関するリスクについて検討する。
製造販売業者は、ウイルス、スパイウェア、ランサムウェア及び
その他の悪意のあるコードが医療機器で実行されることを防ぐた
め、マルウェア対策等のコントロールについて検討する。
製造販売業者は、医療機器の使用者の認証、様々な使用者の役割
に応じたアクセス権付与又は緊急時のアクセス許可等、使用者の
アクセス制御について検討する。また、複数の医療機関及び医療機
器の間で同じ認証情報を共有しないようマネジメントする。認証
又はアクセス許可の例としては、パスワード、ハードウェアキー、

使用者の認証

生体認証又は他の医療機器では作成できない認証信号等がある。
保守点検、修理等の役割をもつ使用者には、高いアクセス権限を
与える必要がある場合があり、製造販売業者は、使用者と協力し
て、認証情報及びアクセス許可の方法を適切にマネジメントする。
製造販売業者は、医療機器が、保守点検、修理等のため、医療機器
として利用できない間、臨床目的で使用されることを禁止し、その
旨を表示する等の仕組みを検討する。

8

9 / 39