の悪用に対応する方法等を含める。
6.3.

協調的な脆弱性の開示（CVD）

製造販売業者が、自社の医療機器の脆弱性情報、他社の医療機器にも関係する脆弱性情報やセキュリテ
ィアドバイザリーを開示する場合、その緩和策及び補完的対策が立案できていない状況で開示すれば、即
座にサイバー攻撃の標的になってしまうこともある。従って、脆弱性情報を開示するタイミングは注意を
要する。脆弱性の影響が大きく一般的である場合は、自社の対策だけでなく、場合によっては分野を超え
た連携が必要な場合がある。この場合、製造販売業者は、規制当局等と連携して、必要な調整を実施する
協調的な脆弱性の開示（CVD：Coordinated Vulnerability Disclosure）のプロセスを確立し、例外なく実
施する。未知の脆弱性を考慮することは難しいので、
透明性を強化するこの CVD の取組みは重要である。
積極的な CVD に関連して、製造販売業者は次を実施する。
サイバーセキュリティの脆弱性及びリスクを特定及び検出するためのサイバーセキュリティの情
報源の監視
協調的な脆弱性開示のポリシー及びプラクティスの採用（ISO/IEC 29147:2018 情報技術－ セキ
ュリティ手法－ 脆弱性の開示）
これには脆弱性報告の受領確認を脆弱性発見者に対して指定された期間内に通知することを含む。
脆弱性の検出及び処理のためのプロセス確立及び伝達（ISO/IEC 30111:2019 情報技術－ セキュ
リティ手法－ 脆弱性の処理プロセス）
このプロセスは、セキュリティ研究者、医療機関等、脆弱性報告の発生源に拘わらず、明確性且
つ一貫性及び再現性が求められる。
CVSS 等 の 確立 した セキ ュ リテ ィの 方法 論及び 臨 床的 なリ スク アセス メ ント 手法 （ JIS T
14971:2020 等）に従って行う、報告された脆弱性の評価
修正策の実施
修正策が可能でない場合、適切な脆弱性の緩和策又は補完的対策の実施。修正策、緩和策につい
ては、展開失敗時の報告方法及び変更のロールバック（初期化）方法を確立する。
脆弱性の開示予定に関する行政機関との情報共有（行政機関からの要求に基づく連携）
ステークホルダーに対しての、脆弱性情報（適用範囲、影響、製造販売業者の現時点の理解に基
づくリスクアセスメントを含む）の提供、並びに脆弱性の緩和策又は補完的対策に関する情報の
提供
状況の変化に応じた、関係するステークホルダーに対する適切な最新情報の提供

16

17 / 39