IMDRF/CYBER WG/N60FINAL:2020

が終了する可能性を考慮すると共に、サポート終了によって医療機器のセキュ
アな運用に悪影響が及ぶ可能性を考慮することが望ましい。
b.

●

将来のレガシー医療機器の数を最小限に抑えることを目的としたセキュアな開
発フレームワークに基づいて医療機器を設計開発する。このような医療機器に
ついては、少なくともセキュリティ基準に適合し、アップデート及びパッチの
適用を可能とする環境を整備することが望ましい。

サポート:
a.

リスクマネジメントの一環として、医療機器における受容できないリスクのあ
る脆弱性の存在可否を監視し、可能な限り最善の対応を行い、製品の全ライフ
サイクルの各段階に応じたリスク関連文書を継続的に更新する。

b.

医療機器の購入及び設置プロセスの一環として、各時点における顧客の責任と
併せて、医療機器のサイバーセキュリティ EOL 日等、ライフサイクルの主要な
マイルストーンを明確に通知する。

c.

顧客に対し、サードパーティによる機器部品のサポート終了を事前に通知する。

d.

サイバーセキュリティ EOS 日まで限定的なサポートを継続することを顧客に通
知する。EOS 日以降、当該医療機器はサポート対象外となってレガシー状態と
なる。この情報は、EOL 日が近づいた時点で顧客に通知することが望ましい。
これにより、ヘルスケアプロバイダは、医療機器の使用終了又は段階的な使用
終了及び事業継続計画作成のための十分な時間を確保できる。このような情報
を明確に通知することにより、医療機関は、自身の責任及び導入する医療機器
のリスクを理解することが可能となり、医療機器の使用終了及び交換に関する
計画と予算を作成することができる。

● 限定的なサポート（EOL 開始点)：
a. 顧客が EOS 及び関連する責任に備えるための十分な時間を確保できるように、
サイバーセキュリティ EOS 日に関するスケジュールを引き続き通知する。
b. 上記の「サポート」の項目に記載した作業「a」及び「c」を引き続き行う。
● サポート終了（レガシー状態開始点）：
a. 製造業者から顧客に責任が完全に移転される。当該医療機器に関する正式なサイ
バーセキュリティ EOS 日以降、そのユーザは、いかなるレベルのサポートも期
待しないことが望ましい。

2020/3/18

Page 41 of 51

43／53 ページ