IMDRF/CYBER WG/N60FINAL:2020

d. 修正作業
責任関係者が行うべき対応は、医療機器の種類、地域の規制、ユーザ及び患者の安全性
に対するリスク、意図する目的等、複数の要因によって異なる。本文書では、全ての医
療機器に期待される特定の対応に関する詳細については言及しないが、全ての脆弱性修
正作業の基礎とすることが望ましい原則を以下に示す。
●

地域の規制要求に対する適合

●

安全性及び基本性能に対する要件の遵守

●

患者及びユーザに対するリスクを低減するための責任関係者との情報共有

●

合意した修正策を達成するための責任関係者間の協力

●

リスクに対する遅滞のない修正

医療機器に搭載されている基本的又は固有の保護手段が十分でなく、且つアップデート
を適用できない場合、リスクを緩和する代替手段を補完的対策として適用することが望
ましい。例えば、医療機器と医療 IT ネットワークとの間にファイアウォールをインス
トールする又は医療機器を医療 IT ネットワークから取り外す対策等が挙げられる。こ
れらの補完的対策は、一般的には製造業者から提供される情報に基づいて、ヘルスケア
プロバイダが実施する。
規制当局は、地域の法令の下で運営されており、市場に存在する医療機器に修正策を適
用する際、特定の要求事項を課す可能性がある。製造業者は、脆弱性修正策を計画する
際、規制当局の判断を考慮する必要がある。製造業者は修正作業を計画的に推進するた
め、早い段階で規制当局に情報を提供することが望ましい。これにより、暫定的な修正
の支援や、責任関係者と連携してユーザ、メディア、公衆等における管理を支援しつつ、
時間的に十分な余裕を持って規制に関するプロセスや必要とされる対応を開始できる。
セキュリティの脆弱性に関する情報は、世界経済の中で急速に拡散するため、脆弱性の
悪用も世界中に瞬時に到達する可能性がある。これは、脆弱性を修正するグローバル且
つ協調的な戦略が必要であることを意味している。ある脆弱性が特定の規制地域のみで
開示・修正され、その他の規制地域では無対応となっている場合、その脆弱性は、悪意
のある者に有利な条件を与えることとなり、患者や広範囲に渡る医療分野が攻撃に晒さ
れることになる。
複数市場に製品を供給する製造業者は、タイミングのずれを最小限とするために、情報
及び修正の公表を調整することが期待される。製造業者は、調整範囲を拡大し、影響を
受ける製品が販売される地域の各規制当局と積極的に連携することが望ましい。

2020/3/18

Page 30 of 51

32／53 ページ