３．４ サイバーセキュリティ対応の国際整合
サイバー攻撃は激しさを増し、国境の枠組みを超えて行われているとともに、常に新しい脅
威が出現しています。このような意図的な脅威から発生するリスクへの対応のためには、従
来から行ってきた医療機器事業者による医療機器のサイバーセキュリティ対応も国際調和を
図るとともに、すべてのステークホルダーとの連携による協力関係を構築することが重要に
なります。IMDRF ガイダンス（前述）では、一般原則として国際整合、製品ライフサイク
ル全体、共同責任、情報共有が示され、医療機器事業者、医療機関、サービス事業者等のス
テークホルダーに対して、連携してサイバーセキュリティ対応を行うことが求められており、
薬機法へ取り入れられること（前述）に伴い、医療機器事業者が医療機器について対応する
ことになります。医療機関においても、このようなサイバーセキュリティ対応の重要性を理
解し、連携した取り組みをすることが必要です。

４．医療機関の取り組みの実際
医療機関と医療機器事業者がサイバーセキュリティ対策で行うことの概要を表 1 に示します。
医療機関における医療機器のサイバーセキュリティ対策のためには、そのネットワーク環境
の整備が基本となりますので、取り組みの実際についての説明には安全管理ガイドラインで
示されている情報セキュリティを確保するために実施する内容の一部も含まれています。
表 1 医療機関と医療機器事業者がサイバーセキュリティ対策・インシデント対応で行うこと（概
要）
ステータス
医療機器の導入

導入前の準備

まで

医療機関
●サイバーセキュリティポリシーの確立（医
療情報セキュリティ体制の構築等）
●IT インフラの構築・ネットワーク構成図
の整備

導入時

医療機器事業者（その他ステー
クホルダーを含む）
○提供文書の作成
・注意事項等情報及び取扱説
明書
・顧客向けセキュリティ文書

●関係者の教育

（システム（ネットワーク）

●アップデートオプション、保守計画の確認

構成図、MDS2、SBOM 等）

●医療機器に関する情報の確認

○必要情報の提供

●保守・サービスに関する役割・責任の明確

○保守・サービスに関する役

化、契約締結

割・責任の明確化、契約締結

●インシデント発生時の対応手順の確立

○インシデント発生時の連携
体制の確認

医療機器の導入

通常時の管理、 ●意図する使用環境における機器の運用

○情報収集、提供

後

運用

○脆弱性に関するセキュリテ

●情報共有
●協調的な脆弱性の開示（CVD）

ィアドバイザリー情報、修正

●脆弱性の修正

や指示等の提供

7
9 / 22