ＡＣ－３
医療機関における医療機器のサイバーセキュリティを確保するために必要な脆弱性
情報等の提供体制構築に向けた研究
（２６ＡＣ０３０１）
（１）背景と目的
医療機関では、多くの医療機器が院内ネットワークに接続されており、医療機器のサイバー
セキュリティ確保が喫緊の課題となっている。こうした状況の中、ソフトウェアの脆弱性を狙
っ た サ イ バ ー 攻 撃 を 防 止 す る 対 策 と し て 、 ソ フ ト ウ ェ ア 部 品 表 （ SBOM、 Software Bill of
Materials）の活用が期待されている。医療機関で SBOM を活用することで、医療機器導入時の
バージョン情報の確認が容易となる。また、新たな脆弱性情報が発信された際には、各医療機
器への影響評価や、機器の隔離等の対応方針の判断を行うことが可能となる。
一方で、医療機関に納入される医療機器は多種多様かつ数量も多い。医療機器製造販売業者
にとっては、納入先の医療機関の数が多く、同一機器でもバージョンが様々であるという課題
がある。また、医療機関ごとにサイバーセキュリティに関する体制や対応方針が異なることか
ら、個別対応を前提とした情報提供には限界がある。
このため、医療機器製造販売業者と医療機関の間で、SBOM を含むセキュリティ関連情報を確
実かつ効率的に共有するための情報提供基盤の整備が課題となっている。
本研究では、医療機器製造販売業者から医療機関に提供されるセキュリティ関連情報（SBOM
等）について、基盤モデルを構築し、得られた知見を基に、具体的な情報提供方法及び体制を
整理する。加えて、情報提供基盤を構築する上での技術的・運用上の課題を明らかにする。

（２）求められる成果
〇医療機関に対して SBOM 等の情報を提供する情報提供基盤についての試行的な構築・運用
（これによる技術的・運用的な課題及び留意事項を明らかにすることを含む。） *
* 具体的には、基盤に格納される SBOM 情報の更新頻度や管理方法を整理すること。また、
医療機器製造販売業者と医療機関との間で必要となる秘密保持契約のあり方の検討に資す
る情報の整理、情報提供基盤に求められるセキュリティ対策、並びに構築・運用・維持に
要するコスト構造等についても整理すること。
〇SBOM の提供方式について、機械可読性を確保したデータ形式を前提とし、医療機関の情報
システム及び運用実態に応じた柔軟な提供方法を検討する。具体的には、API（アプリケー
ション・プログラミング・インターフェース（Application Programming Interface））連
携等を想定した SBOM 共有の仕組みを試設計し、医療機関側の脆弱性管理やセキュリティ対
応業務との親和性を評価する。
※研究班会議や研究成果報告会を活用するなどし、本研究課題の厚生労働省担当者と適時必
要な情報共有を行いながら研究を遂行すること。

43