・配置されているフロアや部屋、ラック等
・スイッチ、ルーターなどの物理配線や接続ポート
・インターネットへの接続経路や接続形式、設定
・ファイアウォール、VPN
・IP アドレス、サブネット
・物理、仮想サーバー
・サーバーのホスト名、役割
③関係者の教育
医療機関は施設内のすべての関係者に対して、自施設の医療機器のサイバーセキュリティ
に関するポリシー、医療セプター等からの情報で必要なもの、サイバーセキュリティイン
シデントが発生した場合の対応手順等について教育し、周知しておくことが必要です。
厚生労働省のウェブサイトにも「医療機関向けセキュリティ教育支援ポータルサイト」が
開設され、
「医療機関等向けサイバーセキュリティ研修用動画」等も公開されており、参考
にすることが出来ます。
４．２ 医療機器の導入時
①医療機器に関する情報の確認
医療機器事業者から提供される情報が、自施設におけるサイバーセキュリティ確保のため
に十分であることを確認し、必要な場合にはネットワーク構成図等を更新します。
［医療機器事業者から提供される情報の例］
・医療機器を使用するために必要な、医療機器周辺の一般 IT 機器等の支援インフラにつ
いての具体的なガイダンス
・安全性の強化につながる可能性のある設定に関する説明
・安全性の高いネットワーク接続及びサービスを可能にするための技術的指示（マルウ
ェア対策、ファイアウォール設定、ホワイトリスト、物理的セキュリティ検出等）
・サイバーセキュリティ上の脆弱性又はインシデントが検知された際の対応方法に関す
る指示
・医療機器に係るセキュリティインシデントが検出された場合に、これを通知する方法
に関する説明。なお、セキュリティインシデントの例としては、設定変更、ネットワ
ーク異常、ログイン試行等が挙げられる。
・医療機器の設定を保存し、復旧するための方法の説明。ただし、実行するためには医
療機器事業者からの権限の付与が必要な場合がある。
・製造販売業者からアップデート情報をダウンロードしてインストールするための対応
手順の説明。ただし、実行するためには医療機器事業者からの権限の付与が必要な場
合がある。
・医療機器のサポート終了に関する情報（
「レガシー医療機器」参照）
・医療機器に実装されているオープンソース及び市販のソフトウェアに関する情報を含
む SBOM（ソフトウェア部品表）。なお、SBOM は、販売時及び変更があった場合に
提供される。

9
11 / 22