図３ サイバーセキュリティに関する医療機器のライフサイクルと医療機関の対応
1) サポート期間の対応
a. 製品ライフサイクルの計画作成、サイバーセキュリティに関する理解及び透明性を確
保するために、医療機器事業者に連絡窓口と情報伝達プロセスを明確にすることを要
求する必要があります。
b. サポートライフサイクルが最も短いソフトウェアコンポーネントが、最終的に医療機
器のサポート及びサイバーセキュリティに影響を与えるため、医療機器事業者に
SBOM（ソフトウェア部品表）の提供を要求します。医療機関は、SBOM により、医
療機器のライフサイクルに影響を与えるコンポーネントをより適切に理解することが
可能となるので、補完的対策等の必要性について検討することができます。
c. 医療機関は、医療機器事業者、保守・サービス事業者等と協力して使用中の医療機器
を適切にサポートし、正常な稼働を維持する必要があります。例えば、ネットワーク
セキュリティ、アクセスマネジメント、セキュリティ業務等を行う必要があります。
d. 医療機器の使用環境における新たなリスクや進化するリスクを評価し、適切な緩和策
によってリスクをコントロールするために最大限努力する必要があります。この対応
策としては、ネットワークのセグメンテーション、ユーザーアクセスの制限、リスク
アセスメント、セキュリティ試験、ネットワーク監視等が挙げられます。
e. サポート対象外となり、患者安全及び医療ネットワークセキュリティを脅かす可能性
があるレガシー医療機器の使用を適切に段階的に終了し、セキュリティ対策で保護可
能且つサポートを受けられる医療機器に置換するため、医療機器事業者が定めるサイ
バーセキュリティ EOS 日以前に計画を作成することが必要です。
2) 限定的なサポート期間の対応（EOL 以降）
・上記「サポート」の項目に記載した作業「c」、
「d」及び「e」を引き続き行うことが必
要です。
3) サポート終了への対応（EOS 以降）
a. 医療業務の継続に影響を与えることなく医療機器の使用を終了できない場合、当該医
療機器のセキュリティを管理する責任及びサイバーセキュリティ EOS 日以降も使用
を継続することによって発生し得るリスクを医療機関が引き受けることになります。

14
16 / 22