具体的にはネットワークや機器との接続が可能であるプログラムを用いた医療機器であり、
ソフトウェア単独で医療機器となる医療機器プログラム（SaMD：Software as a Medical
Device）を含みます。接続方法は有線、無線を問わず、接続対象の機器は他の医療機器、医
療機器の構成品、USB メモリ等の携帯型メディアなどが含まれます。
（図 2 参照）
なお、医療機器事業者やサービス事業者が当該医療機器を保守するにあたって、契約等によ
って設置するサーバーや端末、ネットワーク機器などの医療機器認証に含まない周辺機器を
含めて提供される場合においては当該医療機器を含む安全環境の維持に不可欠なものとして
対象に含むものとします。

図２ 本書で対象とする医療機器（イメージ）
（３）対象とするリスク
医療機器に係るサイバー攻撃の被害により、医療安全に影響を与えるリスクを対象とします。
例えば、医療機器の性能に影響を与える（性能や機能の低下、誤動作、動作停止など）、診療
活動に影響を与える（患者情報やオーダー情報へのアクセス停止など）、誤った診療につなが
る（情報の欠落や改ざんによる誤診断や不適切な治療など）
、などによって医療安全が損なわ
れることが考えられます。また、当該医療機器がサイバー攻撃の被害を受けたことにより、
同じネットワークに接続された他の医療機器やシステムに影響を及ぼし医療安全に影響を与
えるリスクにも考慮が必要です。
（４）情報セキュリティと医療安全について
IT を用いた医療機器は、患者情報等を扱う医療情報システムを含む場合も多く、情報セキュ
リティ（例えば情報漏洩やデータプライバシーに関するセキュリティなど）が確保できる環
境の整備は医療機関においては重要になりますが、本書では、これに加えて、特に医療機器
の医療安全の視点から必要となる対策について説明します。
（図 1 参照。
）
医療機関における医療情報システムの情報セキュリティの維持のための要件全般については、
別途、厚生労働省の安全管理ガイドラインに定められており、医療機関のサイバーセキュリ
ティ対策チェックリストも提供されています。これらは医療機器の医療安全確保のために実
施すべき内容と共通又は関連する項目も多く、想定リスク、リスクシナリオについての合意

5
7 / 22