別

添

境、サイバーリスクに応じた危害等を考慮したリスクベースアプローチによって判断する。また、次のよ
うな患者又はユーザーへの危害が発生する可能性のあるサイバーセキュリティリスクに限定する。
製品の性能に影響を与える
臨床活動に影響を与える
誤った診断、治療又は予防に繋がる
なお、医療機器が疾病の診断、治療、予防等に供することを考慮し、この文書では医療機器のユーザー
等への危害の防止の観点からサイバーリスクへの対応をまとめている。一方、医療機器は患者等の個人情
報等を扱う医療情報システムの一部としてもみなされるため、データプライバシー等の情報セキュリテ
ィに係るリスクへの対応も実施される必要があるが、この文書の適用範囲ではない。情報セキュリティに
係る対策については、別途安全管理ガイドライン等を参照する。また、製造販売業者の一般的な企業活動
に関するサイバーセキュリティ対応についてもこの文書の適用範囲から除外しているため、医療機器の
製造販売業者は、一般的な個人情報の漏洩等の危害についても十分な対応をすることが社会的に求めら
れていることに留意すべきである。

3.

用語及び参考定義
この文書で使用する用語及びその参考定義を、末尾に示している。

4.

一般原則
医療機器・システムだけでなく、高度化・複雑化した世界中のヘルス IT システムにおける患者の安全

性を確保する上で、我が国の医療機器においても、TPLC に渡ったサイバーセキュリティ対応の国際的な
調和を図る。
製造販売業者は、広く知られている米国国立標準技術研究所（NIST）サイバーセキュリティフレーム
ワークだけでなく、例えば、医療機器・ヘルス IT 共同セキュリティ計画（Joint Security Plan）のベスト
プラクティス等を利用して、設計・開発の段階においてセキュリティを計画・実現し、次を実施する。
顧客向け文書
規制当局への申請
苦情処理
脆弱性修正
インシデント対応
医療機関等のステークホルダーとの継続的な情報共有及び連携
このためには、次が必要である。
製品のセキュリティポリシー設定
3