2) 役割毎のトレーニング
予め決められた役割に応じて適切なトレーニングを実施することが必要で、その内容につ
いて定期的に見直すことが推奨されます。サイバーセキュリティインシデントを評価する
専門家は、実務経験に加えて、デジタル機器に残る記録を収集・解析し、法的な証拠性を
明らかにするための専門的なトレーニングを受けることが推奨されます。インシデント対
応プロセスに関与する人員は、実務経験に加えて、インシデント対応のプロセス及び理論
に関するトレーニングを受けることが推奨されます。インシデント対応演習を行うことも
有効です。
3) 分析及び対応
医療機関は、インシデント又は脆弱性の影響を報告書により評価し、医療機器事業者等の
責任関係者と協力して対応することが必要です。医療機関は、対応策及び安全関連情報を
患者に周知する必要があります。
②関係方面への報告
インシデント発生に関する報告は、厚生労働省医政局特定医薬品開発支援・医療情報担当
参事官室、都道府県、医療セプター等に対して行う必要があり、必要に応じて医療機器・
医療情報システムの保守管理委託先、医療機器事業者等に協力を求めます。また、実際に
保健衛生上の危害が発生し、又は拡大するおそれがある場合には医療機器に関する安全性
情報として医薬品医療機器総合機構（PMDA）に報告する必要があります。
③事後対応
医療機関は、予め定めたサイバーセキュリティのインシデントを処理するためのポリシー
に従って、事態の発生について公表し、その原因と対処法について説明する必要がありま
す。また、「原因を追究し明らかにする責任」、「損害を生じさせた場合にはその損害填補
責任」、
「再発防止策を講ずる責任」といった善後策を講ずる責任があります。
４．５ レガシー医療機器への対応
医療機関では、各医療機器のサイバーセキュリティについて公表された EOL（製品寿命
終了）を越えた使用期間を設定する場合があります。しかし、脅威の状況は時代とともに
変化し、新しい脅威の出現により、時代遅れの技術を使用するリスク及び対応に要する経
費が増加することになります。医療機器事業者及び医療機関は共同責任として対処する必
要があります。医療機関は、サイバーセキュリティに関する医療機器のライフサイクルに
応じて対応すべき推奨事項を考慮し、既定の EOS（サポート終了）日以前に計画を作成
する必要があります。（図 3 参照。
）

13
15 / 22