医療機関向け手引書 V33B

179

医療機関と医療機器事業者がサイバーセキュリティ対策で行うことの概要を表 1 に示します。

180

医療機関における医療機器のサイバーセキュリティ対策のためには、そのネットワーク環境

181

の整備が基本となりますので、取り組みの実際についての説明には安全管理ガイドラインで

182

示されている情報セキュリティを確保するために実施する内容の一部も含まれています。

183
184

表１：医療機関と医療機器事業者がサイバーセキュリティ対策・インシデント対応で行うこと（概

185

要）
ステータス
医療機器の導入

導入前の準備

まで

医療機関
●サイバーセキュリティポリシーの確立（情
報セキュリティ体制の構築）
●IT インフラの構築
●関係者の教育

医療機器事業者（その他ステー
クホルダーを含む）
○提供文書の作成
・注意事項等情報及び取扱説
明書
・顧客向けセキュリティ文書
（MDS2、SBOM、等）
導入時

●医療機器に関する情報の確認

○必要情報の提供

●保守・サービスに関する役割・責任の明確

○保守・サービスに関する役

化、契約締結

割・責任の明確化、契約締結

●インシデント発生時の対応手順の確立

○インシデント発生時の連携
体制の確認

医療機器の導入

通常時の管理、 ●意図する使用環境における機器の運用

○情報収集、提供

後

運用

○脆弱性の修正、情報や指示等

●情報共有
●協調的な脆弱性の開示（CVD）
●脆弱性の修正

の提供
○協調的な脆弱性の開示
（CVD）

インシデント

●インシデント状況の把握

○医療機関との連携活動

発生時の対応

●関係方面への報告、広報

○規制当局等への報告、情報提

●対応手順の実行
●発生後のインシデントの情報整理、対応手

供
○医療機器等の対応

順や通常時の管理、運用へのフィードバ
ック

レガシー状態
での対応

●限定的なサポート期間、サポート終了の確
認と理解

○限定的なサポート期間、サポ
ート終了の情報提供

●レガシー状態への対応

○連携した対応

186
187
188
189

４－１．医療機器の導入前の準備
①サイバーセキュリティポリシーの確立
医療機関では医療機器のサイバーセキュリティに対するポリシー（基本方針）を明確にす

7 / 19