医療機関向け手引書 V33B

268
269
270
271

４－３．医療機器の導入後の管理、運用
①意図する使用環境における機器の運用
1)リスクマネジメントの実施

272

医療機関では、自施設の IT インフラに接続される医療機器の安全性、性能及びサイバ

273

ーセキュリティに対応するために、リスクマネジメントを実施することが求められ、以

274

下のステージで適用することが推奨されます。

275

・IT インフラの初期開発時

276

・既存 IT ネットワークへの新規医療機器の統合時

277

・アップデート又は改良によるオペレーティングシステム、IT ネットワーク又は医療

278
279

機器自体のソフトウェア及びファームウェアの変更時
2) サイバーセキュリティ対策

280

医療機関は、リスクマネジメントに加え、全体的なセキュリティ体制を維持するために、

281

以下に例示したような一般的なサイバーセキュリティの対応をすることが推奨されます。

282

なお、これらは救急時等を含めた臨床使用状況を考慮して実施する必要があります。

283
284
285
286
287
288

［サイバーセキュリティ対策の例］
・医療機器又はネットワークアクセスポイントへの不正アクセスを防ぐための物理的
または論理的セキュリティ
・ネットワークの各要素、保存情報、サービス及びアプリケーションへのアクセス制
御
・現在の全ての資産を特定し、将来的な構成の変更を追跡するための、構成管理方法

289

の採用（ネットワーク構成図等の作成、管理等）

290

・製造販売業者が推奨する設定及び保護対策の適用

291

・医療機器の通信を制限するネットワークアクセスコントロール

292

・確実且つ遅滞なくセキュリティアップデートを適用するためのマネジメント

293

・攻撃を予防するためのマルウェア対策

294

・無人状態で長時間放置されている医療機器に対する不正アクセスを防ぐためのセッ

295
296

ションタイムアウト
3)全てのユーザに対するトレーニング/教育

297

医療機関は、施設内におけるサイバーセキュリティのインシデントの発生を防止するた

298

め、医師、看護師、臨床工学技士、臨床検査技師等、全ての関係者のセキュリティに対

299

する意識を高め、安全性の高い行動を習慣付けるための基本的なサイバーセキュリティ

300

トレーニングを実施することが求められます。また、在宅医療機器等、患者自身が操作

301

する医療機器については、患者に対する同様のトレーニングも必要です。

302

［トレーニング内容の例］

303

・セキュアなネットワークのみへの接続等

304

・医療機器のセキュアな操作方法、ランダムなシャットダウン/再起動、セキュリティ

305

ソフトウェアの無効化等

306

・医療機器の異常動作を検知して通知する方法等

10 / 19