1.

目的
この文書は、国際的な規制調和の観点及び国境の枠組みを超えて医療機器のサイバーセキュリティに

係る安全性を向上させる観点から策定された IMDRF ガイダンスの要求事項を踏まえ、医薬品医療機器等
法を遵守し、医療機器の品質、有効性及び安全性を確保するために、製造販売業者が、本邦の医療機器に
対して導入するための対応及び組織的な取組みを行うための情報を提供する。これによって製造販売業
者が適切な対応を実施し、その結果、製品ライフサイクル全体（Total Product Life Cycle、以下「TPLC」
という）を通じサイバーセキュリティに関するリスクを低減し、プログラムを用いた医療機器の安全性と
有効性を確保することで、患者等への危害の発生及び拡大の防止に繋げる。

2.

適用範囲
この文書は、無線又は有線により、メディア媒体を含む他の機器、ネットワーク等との接続が可能なプ

ログラムを用いた医療機器（ソフトウェア単独で医療機器となる医療機器プログラム（Software as a
Medical Device: SaMD）を含む）及びプログラムを用いた附属品（医療機器の薬事承認等範囲内の構成
品）等に関するサイバーセキュリティを対象とする。また、医療機器の保守を目的として構成されるプロ
グラムを用いた周辺機器についても契約等に応じて対象とする。適用の要否は、医療機器のクラス分類
（Ⅰ～Ⅳ）だけで判断すべきではなく、意図する使用環境、サイバーリスクに応じた危害等を考慮したリ
スクベースアプローチによって判断する。また、次のような患者等への危害が発生する可能性のあるサイ
バーセキュリティリスクに焦点をあてる。ただし、それ以外のリスクに関しても適切な対策をとることが
必要なことには十分留意する。
製品の性能に影響を与える
臨床活動に影響を与える
誤った診断、治療又は予防に繋がる
医療機器が疾病の診断、治療、予防等に供することを考慮し、この文書では患者等への危害の防止の観
点からサイバーリスクへの対応をまとめている。一方、医療機器は患者等の個人情報等を扱う医療情報シ
ステムの一部としてもみなされるため、データプライバシー等の情報セキュリティに係るリスクへの対
応も実施される必要があるが、この文書の適用範囲ではない。情報セキュリティに係る対策については、
別途安全管理ガイドライン等を参照する。また、製造販売業者の一般的な企業活動に関するサイバーセキ
ュリティ対応についてもこの文書の適用範囲から除外しているため、医療機器の製造販売業者は、一般的
な個人情報の漏洩等の危害についても十分な対応をすることが社会的に求められていることに留意すべ
きである。

5

6 / 39