が、許可された範囲内で情報にアクセスできるよう、保護・管理されていることを指す。完全
性（Integrity）とは、データの正当性、正確性及び一貫性が維持され、不適切な変更が行わ
れていないことを意味し、意図された使用方法の下で医療機器の機能や性能が確保され、
患者情報や診断結果等の正確性が保たれていることを指す。そして可用性（Availability）と
は、必要なときにシステムが正確なサービスを提供できる状態が維持されていることを指す。
これらの要素を満たすべく、サイバーリスクに対するリスクマネジメントを考える際には、従
来行われてきた、一次故障や誤操作等をリスク要因として捉えるリスクマネジメントに加えて、
悪意を持った攻撃者の存在等もリスク要因として捉えて検討することが必要となる。
（※1

医療機器のリスクマネジメントの規格である JIS T 14971:2012 では、危害（harm）を「人の受け

る身体的傷害若しくは健康障害、又は財産若しくは環境の受ける害」と定義している。本ガイダンス
では、患者や医療機器の使用者に対する安全性に係る危害を第一に想定しているが、医療機器の
製造販売業者は個人情報の漏洩等の危害についても十分な対応をすることが社会的に求められ
ていることに十分に留意すべきである。）

１.目的
本ガイダンスの目的は、サイバーセキュリティ通知により示された製造販売業者が行うべ
きサイバーセキュリティへの取組について、医療機器への開発・設計（市販前）及び市販後
の対応をより具体的にするための情報を提供することである。製造販売業者が本ガイダンス
を参考に適切な対応を実施することによって、サイバーセキュリティに関するリスクの低減、
医療機器本来の有効性及び安全性の確保が図られ、患者へのリスクの低減に繋がる。
なお、サイバーセキュリティの分野は攻撃方法の多様化・巧妙化等の状況の変化が著しい
ことから、サイバーセキュリティの対策は、本ガイダンスに示したものに限らず、技術動向等
を踏まえて適切な対策を取るべきことに十分留意することが必要である。

２.検討が必要となる医療機器及び使用環境の特定
本ガイダンスは、サイバーセキュリティに関するリスクが想定される医療機器を対象とする
ものであり、医療機器の全てを対象とするものではない。サイバーセキュリティに関する対応
が必要な医療機器に該当するかは、機器の特性及びその使用環境等を特定し検討すること
が必要である。
医療機器におけるサイバーリスクのうち、医療機器を用いた診療を受ける者（患者）及び
医療機器の使用者に対する障害に係るリスクは、優先的に対応することが必要である。

3／9 ページ