のリスクコントロール手段は、網羅的なリストではなく、また、一つ以上のコントロール手段又はその組
合せを利用することが適切な場合がある。
表 3 補完的リスクコントロール手段の例
コントロールのタイプ
物理的アクセスの制限

補完的リスクコントロール手段
機器を物理的に制限された領域に置いて、物理的な入室管理を
適切に行うことによって、機器への物理的アクセスを許可した
要員だけに制限する。

リムーバブルメディアの管理

USB ドライブ等のリムーバブルメディアの使用に関しては、
システムの BIOS/UEFI*ポリシーによって、OS のポリシー又は
物理的手段を通して制限する。
*BIOS: Basic input output system
UEFI: Unified Extensible Firmware Interface
（コンピュータープラットフォームのファームウェアと OS をインターフ
ェイスする規約であり、UEFI は、BIOS の 16 ビット I/O・メモリ空間の
制限を解決している）

ネットワークの隔離

機器をネットワークから隔離する。

ネットワークの分離

機器の VLAN（仮想 LAN）並びに機器が通信するその他のイン
フラストラクチャー及びサービスをセットアップする。

監視

侵入検知システム（IDS）
、侵入予防システム（IPS）又はセキ
ュリティ情報及び事象マネジメント（SIEM）を用いて、機器
及びネットワークの疑わしい活動を監視する。

リモートアクセスの制限

機器からリモートアクセス機能を削除する。

ファイアウォール

機器を物理的又は仮想的なファイアウォールの背後に配置し、
厳密に必要なネットワーク通信の特定ポートのみをファイアウ
ォールで開放する。

マルウェア対策

機器にマルウェア対策ソフトウェアをインストールする。ネッ
トワークから隔離された機器（スタンドアローン）について
は、定義の更新を必要としないソフトウェア、例えば、AI を用
いたマルウェア対策ソフトウェアを用いる。

バックアップ及び復元

災害時、サイバー攻撃等によるデータ損失に対して保護及び早
期復旧のために、バックアップ及び復元の手順を実装する。

7.

業許可に関する考慮事項
製造販売業者が、販売業者又は貸与業者を介して医療機関（直接使用者の場合も含む）へ医療機器を提

供する際には、安全性情報の提供、収集その他の安全確保に必要となる処置を実施することになる。その
ため、サイバーセキュリティ対応においても、他の安全確保処置と同様に販売業者等を含めたステークホ
25

26 / 39