別

添

は、後述の MDS2（Manufacturer Disclosure Statement for Medical Device Security）のセキュリティ
機能に対応付けて検討するとよい。
製造販売業者が自社製品の設計で考慮することが望ましい設計原則を表 1 に示す。ただし、表 1 は完
全なリストを意味するものではなく、あくまでも例示である。
表 1. 医療機器の設計における検討事項に対する設計原則
説

設計原則

明

製造販売業者は、外部からの入力だけでなく、全ての入力を検証
する設計機能を検討し、安全性が低い通信しかサポートしていな
い機器及び環境（ホームネットワークに接続された機器やレガシ
ー機器等）との通信を考慮する。
セキュアな通信

製造販売業者は、医療機器の送受信データ通信を不正アクセス、
不正な改変又は反射攻撃から保護する手法について検討する。例
えば、製造販売業者は、医療機器/システム間通信の相互認証方法、
暗号化の要否、既に送信されたコマンド又はデータの不正再送を
防ぐ方法、予め定めた時間設定後に通信を切断する適切性等につ
いて検討する。
製造販売業者は、医療機器に保存される又は送受信される安全

データ保護

性に関連するデータを暗号化等によって保護する必要性について
検討する。例えば、パスワードは、暗号化によって保護されたハッ
シュとして保存する。
製造販売業者は、データの否認防止を確保できる設計特性の要
否を判断するために、監査ログ機能のサポート等、システムレベル
のアーキテクチャを評価する。

機器の完全性

製造販売業者は、機器のソフトウェアに対する不正な改変等、医
療機器の完全性に関するリスクについて検討する。
製造販売業者は、ウイルス、スパイウェア、ランサムウェア及び
その他の悪意のあるコードが医療機器で実行されることを防ぐた
め、マルウェア対策等のコントロールについて検討する。
製造販売業者は、医療機器のユーザーの認証、様々なユーザーの
役割に応じたアクセス権付与又は緊急時のアクセス許可等、ユー
ザーのアクセス制御について検討する。また、複数の医療機関及び

ユーザーの認証

医療機器の間で同じ認証情報を共有しないようマネジメントす
る。認証又はアクセス許可の例としては、パスワード、ハードウェ
アキー、生体認証又は他の医療機器では生成できない認証信号等
がある。

ソフトウェア保守

製造販売業者は、定期的なアップデートの実施プロセスと展開
プロセスを確立し、そのアップデート情報を共有する。

5