周知及び体制確保に向けた指導等よろしくお願いします。
なお、本通知の写しを独立行政法人医薬品医療機器総合機構理事長、一般社団
法人日本医療機器産業連合会会長、一般社団法人米国医療機器・IVD 工業会会
長、欧州ビジネス協会医療機器・IVD 委員会委員長、一般社団法人日本臨床検査
薬協会会長及び医薬品医療機器等法登録認証機関協議会代表幹事宛て送付する
ことを申し添えます。
記
令和６年３月 31 日以前に製造販売された医療機器のうち、医療機関等に存在
し、「基本要件基準」第 12 条第３項への適合が確認されていない医療機器につ
いては、設計及び開発におけるサイバーセキュリティ対応が十分とは限らず、サ
イバー攻撃に対して脆弱である場合がある。医療現場における患者の安全性を
確保するため、医療機器の製造販売業者、外国製造医療機器等特例承認取得者又
は外国指定高度管理医療機器製造等事業者（以下「製造販売業者等」という。）
は、当該医療機器のサイバーリスクに関する評価を実施し、医療機関等に対し、
運用、意図する使用環境におけるサイバーリスク等の情報共有、及び脆弱性の管
理等を適切に行う必要がある。従って、令和６年３月 31 日以前に製造販売され
た医療機器のうち、医療機関等において稼働している可能性のある医療機器の
サイバーセキュリティ対応について、以下に留意すること。
（1） 製造販売業者等は、医療現場における患者の安全性を確保するため、当該
医療機器のサイバーリスクに関する評価及び対策等を適切に実施し、意
図する使用環境におけるサイバーリスクに関する情報を医療機関等に提
供すること。また、医療機関等の求めに応じてソフトウェア部品表（SBOM）
を提示できるように準備しておくこと。なお、サポート終了（EOS）を過
ぎたものと製造販売業者等が判断した医療機器については、納入先であ
る医療機関等に対し、既に EOS などに関する必要な情報提供をしている
場合、SBOM の作成及び提示を要しない。
（2） 製造販売業者等は、医療機器のライフサイクルを特定し、製品寿命終了
（EOL）及び EOS に関する情報を医療機関等に提供していない場合は、医
療機器のライフサイクル（①～③）に応じて医療機関等に提供すること。
なお、EOL、EOS を設定する時期については、製品のライフサイクルに応
じて各製造販売業者等にて設定されるべきものであるが、EOL、EOS を設
定した場合は適宜、医療機関等へ情報提供を行うこと。