○協調的な脆弱性の開示
（CVD）
インシデント

●インシデント状況の把握

○医療機関との連携活動

発生時の対応

●関係方面への報告、広報

○規制当局等への報告、情報提

●対応手順の実行

供

●発生後のインシデントの情報整理、対応手

○医療機器等の対応

順や通常時の管理、運用へのフィードバ
ック
レガシー状態
での対応

●限定的なサポート期間、サポート終了の確
認と理解

○限定的なサポート期間、サポ
ート終了の情報提供

●サポート終了後、使用を継続することに対

○連携した対応

するリスクマネジメントの実施
●本体では対応が困難な脆弱性の暴露によ
って、突然レガシー状態となった場合の

○補完的対策を含む緩和策の
提供

対応

４．１ 医療機器の導入前の準備
①サイバーセキュリティポリシーの確立
医療機関では医療機器のサイバーセキュリティに対するポリシー（基本方針）を明確にす
る必要があります。IT インフラを整備しこれを維持管理するための方針や情報共有につい
てのポリシーを明確にするとともに、医療セプター等の ISAO（情報共有分析機関）からの
情報を常に確認し、自施設で必要になる対策があれば実施すること及び対策が必要になる
可能性について医療機器事業者等に確認することが求められます。医療セプターでは、
NISC（内閣セイバーセキュリティセンター）や厚生労働省と連携し、サイバーセキュリテ
ィに関する情報共有や演習、訓練等の活動を行っています。医療機関には、医療関係団体
との連携等によりこれらの活動に積極的に参画することが推奨されます。
また、サイバーセキュリティインシデントが発生した場合の対応手順についても予め定め、
関係者に周知しておくことが必要です。
②IT インフラの構築とネットワーク構成図等の整備
医療機関では医療機器の使用環境としての IT インフラを整備する必要があり、そのために
は安全管理ガイドラインに従って医療情報システムの情報セキュリティの確保のための体
制を構築し、維持管理することが必要です。
医療機関内で医療情報システムや医療機器がどのようなネットワークを構成し、接続され
ているかを視覚化したネットワーク構成図やサーバー構成図、システム機能構成図を作成
し、関係者への説明や状況の把握・理解のために使用します。
ネットワーク構成図等には、機器の物理的な配置を把握するための情報と、通信の流れや
相互接続関係を把握するための情報を含める必要があり、必要に応じて逐次更新します。
［ネットワーク構成図等に含める情報の例］
・ネットワークに接続される可能性のあるすべての医療情報システム・医療機器

8
10 / 22