IMDRF/CYBER WG/N60FINAL:2020

マネジメントプロセスの採用について検討することが望ましい。このプロセスは、以下
のステージで適用することが望ましい。
IT インフラの初期開発時
既存 IT ネットワークへの新規医療機器の統合時
アップデート又は改良によるオペレーティングシステム、IT ネットワーク又は
医療機器自体のソフトウェア及びファームウェアの変更時
ヘルスケアプロバイダがこれらのリスクマネジメントプロセスを実行する上で、IEC
80001-1 及び ISO 31000、並びに ISO 27799 を中心とした ISO 27000 シリーズ等の関連規
格が参考となる。「医療産業のサイバーセキュリティ手法：脅威の管理と患者の保護」
も、参考文書として利用できる。
ヘルスケアプロバイダは、リスクマネジメントシステムの採用に加え、全体的なセキュ
リティ体制を維持するために、以下に示した一般的なサイバーセキュリティのベストプ
ラクティスを導入することが望ましい。但し、以下は完全なリストを意味するものでは
なく、あくまでも例示である。
医療機器又はネットワークアクセスポイントへの不正アクセスを防ぐための優れた
物理的セキュリティ
ネットワークの各要素、保存情報、サービス及びアプリケーションへの確実なアク
セス制御手段(例:役割ベース)
現在の全ての資産を特定し、将来的な構成の変更を追跡するための、構成管理方法
の採用
製造業者が推奨する設定及び保護対策の適用
医療機器の通信を制限するネットワークアクセスコントロール
確実且つ遅滞なくセキュリティアップデートを適用するためのマネジメント
攻撃を予防するためのマルウェア対策
無人状態で長時間放置されている医療機器に対する不正アクセスを防ぐためのセッ
ションタイムアウト
これらのベストプラクティスは、医療機器の臨床使用状況を考慮して実施することが望
ましい。例えば、救急時等では、これらのベストプラクティスの幾つかの実施が難しい
可能性がある。上記の手法の多くは、NIST のサイバーセキュリティフレームワークに
記載されている。

2020/3/18

Page 22 of 51

24／53 ページ