医療機関向け手引書 V33B

385

責任」
、
「再発防止策を講ずる責任」といった善後策を講ずる責任があります。

386
387

４－５．レガシー医療機器への対応

388

医療機関では、各医療機器のサイバーセキュリティについて公表された EOL（製品寿命

389

終了）を越えた使用期間を設定する場合があります。しかし、脅威の状況は時代とともに

390

変化し、新しい脅威の出現により、時代遅れの技術を使用するリスク及び対応に要する経

391

費が増加することになります。医療機器事業者及び医療機関は共同責任として対処する必

392

要があります。医療機関は、サイバーセキュリティに関する医療機器のライフサイクルに

393

応じて対応すべき推奨事項を考慮し、既定の EOS（サポート終了）日以前に計画を作成

394

する必要があります。
（図 3 参照。
）

395

396
397

図３ サイバーセキュリティに関する医療機器のライフサイクルと医療機関の対応

398
399

1)サポート期間の対応

400

a. 製品ライフサイクルの計画作成、サイバーセキュリティに関する理解及び透明性を確

401

保するために、医療機器事業者に連絡窓口と情報伝達プロセスを明確にすることを要

402

求する必要があります。

403

b. サポートライフサイクルが最も短いソフトウェアコンポーネントが、最終的に医療機

404

器のサポート及びサイバーセキュリティに影響を与えるため、医療機器事業者に

405

SBOM（ソフトウェア部品表）の提供を要求します。医療機関は、SBOM により、医

406

療機器のライフサイクルに影響を与えるコンポーネントをより適切に理解することが

407

可能となるので、補完的対策等の必要性について検討することができます。

408

c. 医療機関は、医療機器事業者、保守・サービス事業者等と協力して使用中の医療機器

409

を適切にサポートし、正常な稼働を維持する必要があります。例えば、ネットワーク

410

セキュリティ、アクセスマネジメント、セキュリティ業務等を行う必要があります。

411

d. 医療機器の使用環境における新たなリスクや進化するリスクを評価し、適切な緩和策

412

によってリスクをコントロールするために最大限努力する必要があります。この対応

413

策としては、ネットワークのセグメンテーション、ユーザアクセスの制限、リスクア

414

セスメント、セキュリティ試験、ネットワーク監視等が挙げられます。

13 / 19