IMDRF/CYBER WG/N60FINAL:2020

脆弱性の開示：脆弱性発見者からの情報を集約した上で、緩和及び修正策を開発し、
脆弱性の存在及び緩和又は修正方法を責任関係者に開示するための正式なプロセス
アップデート及び脆弱性の修正：医療機器の安全性及び性能を継続的に維持するた
めの、定期的な、若しくは特定された脆弱性に対するソフトウェアのアップデート
又は修正作業の実施
復旧：製造業者、ユーザのいずれか又は両者が、サイバーセキュリティのインシデ
ント後に、医療機器を通常の運用状態に戻すための復旧計画
情報共有：セキュリティの脅威及び脆弱性に関する更新した情報を共有する ISAO
又は情報共有分析センター（Information Sharing and Analysis Centers：ISAC）への参
加
5.5
5.5.1

ラベリング及び顧客向けセキュリティ文書
ラベリング

ラベリングは、関連するサイバーセキュリティリスクを考慮して該当するセキュリティ
情報をエンドユーザに伝達するものである。ラベリングには、以下に示した項目を含め
ることが望ましい。
アンチマルウェアソフトウェア、ネットワーク接続設定、ファイアウォールの使用
等、意図する使用環境に適した推奨されるサイバーセキュリティコントロールに関
連する医療機器の使用方法及び製品仕様
正常な機能を回復するための、バックアップ並びに復元の機能及び手順の説明
データを送受信するネットワークポート及びその他のインタフェースのリスト、並
びにポート機能、着信・発信ポートの説明。但し、未使用ポートは無効化すること
が望ましいことに留意する。
エンドユーザ向けの詳細なシステム構成図
5.5.2

顧客向けセキュリティ文書

取扱説明書に加えて、製造業者が提供する医療機器のインストール及び設定に係る技術
文書、並びに運用環境のための技術的要求事項は、ユーザが医療機器を安全でセキュア
に使用する上で特に重要である。顧客向けセキュリティ文書については、以下に示した
項目を含めることが望ましい。
意図したとおりの医療機器の動作を確保するための、支援インフラの要求事項に関
するユーザへの具体的なガイダンス

2020/3/18

Page 18 of 51

20／53 ページ