に適している。パターンファイル等を伴ってリアルタイムにマル
ウェアを検知し駆除するためのスキャンを実行するコントロール
の場合は、定期点検等の検疫作業には適しているが、通常使用にお
いては、医療機器の基本性能に影響を及ぼす可能性があるので、論
理的検証だけでなく、使用環境の負荷を考慮したバリデーション
の結果をもって、利用を判定する。これらのマルウェア対策ソフト
ウェアは、医療機器に組み込んで使用する場合、ソフトウェア部品
表（Software Bill of Materials:以下「SBOM」という）の対象とな
る。
5.2.

TPLC に関するリスクマネジメント原則

製造販売業者は、サイバーセキュリティについても JIS T 14971:2020 及び TR T 24971:2020 によって
最新の技術に基づくリスクマネジメントを TPLC に渡って実施し、必要な対策を行い、その結果、重大な
脆弱性がなくリスクが受容可能になることを、許認可を受ける際には規制当局へ、市販後には医療機関、
使用者又は規制当局等へ説明する。リスクマネジメントプロセスの一環として以下のステップを踏むこ
とが望ましい。
サイバーセキュリティに関する脆弱性の特定
関連するリスクの推定及び評価
リスクを受容可能なレベルまで低減するリスクコントロールの採用
リスクコントロールの有効性の評価・監視
協調的な情報開示を通じ、医療機関、患者等へのリスクに関する情報の提供
一連の活動の文書化
セキュリティの脆弱性の評価に関しては、共通脆弱性スコアリングシステム（Common Vulnerability
Scoring System：以下「CVSS」という）等の広く採用されている脆弱性スコアリングシステムを採用し
て透明性を確保し分析・評価を行う。この際、一般の情報セキュリティにおける使用を想定した CVSS ス
コア（基本値、現状値）は、医療機器として臨床環境や患者の安全への影響へ置き換えるため、再評価を
する必要がある。再評価については、例えば MITRE（米国の連邦政府が資金を提供する非営利組織）が
策定した医療機器向けのガイド（MITRE Rubric for Applying CVSS to Medical Devices）があるので参
考にできる。
5.3.

セキュリティ試験

製造販売業者は、設計・開発の検証及びバリデーション段階において、様々な種類のセキュリティ試験

10

11 / 39