IMDRF/CYBER WG/N60FINAL:2020

ンポーネント又はサブシステムと既知の脆弱性データベースとの相互参照等、特定の試
験に係る詳細のほか、試験報告書には、以下の事項を記載することが望ましい。
試験方法、結果及び結論の説明
セキュリティリスク、セキュリティコントロール、並びにセキュリティコントロー
ルの検証試験のトレーサビリティマトリクス
使用した規格及び内部 SOP/文書の参照
5.6.4

TPLC サイバーセキュリティマネジメント計画に関する文書

医療機器の全ライフサイクルを通して安全性及び性能を継続的に保証するための市販後
プロセスに係る保守計画の要約である。5.4 項に記載したとおり、このプロセスとして
は、TPLC 監視、計画的又は修正のためのアップデート、協調的な脆弱性の開示ポリシ
ー及び情報共有が挙げられる。
5.6.5

ラベリング及び顧客向けセキュリティ文書

5.5 項において概説した医療機器の意図する使用環境下でユーザがリスクを効果的に管
理するための関連情報を含む、サイバーセキュリティに関する全ての情報を収載したユ
ーザ文書である。

6.0 医療機器サイバーセキュリティの市販後考慮事項
脆弱性は時間経過に伴って変化するため、市販前の設計段階で実施したセキュリティ対
応は、リスクが受容可能な状態を適切に維持できない可能性がある。そのため、様々な
責任関係者がそれぞれの役割を果たす市販後のアプローチが必要になる。市販後アプロ
ーチは、意図する使用環境における医療機器の運用、情報共有、協調的な脆弱性の開示、
脆弱性の修正、インシデントへの対応及びレガシー医療機器等を含む様々な要素に及ん
でいる。製品のライフサイクルの市販後プロセスに関与する全ての責任関係者へ向けた
推奨事項として、これらの要素について下項で概説する。
6.1

意図する使用環境における機器の運用

6.1.1

ヘルスケアプロバイダ及び患者

a. ヘルスケアプロバイダが採用すべきサイバーセキュリティのベストプラクティ
ス
医療機器のサイバーセキュリティは共同責任であり、ヘルスケアプロバイダを含む全て
の責任関係者の参画が必要である。ヘルスケアプロバイダは、自身の IT インフラに接
続される医療機器の安全性、性能及びサイバーセキュリティに対応するために、リスク

2020/3/18

Page 21 of 51

23／53 ページ