IMDRF/CYBER WG/N60FINAL:2020

● ヘルスケアプロバイダは、医療現場で医療機器を使用しているため、医療機器の
サイバーセキュリティに関する情報の主要な生成者でもある。また、ヘルスケア
プロバイダは、影響を受けた医療機器に関するフィードバックや、現実世界の環
境で実施する修正策や緩和策の難易度や効果に関するフィードバックを提供でき
る。
d. ユーザ（医師、患者、介護者、消費者等）
● アップデート又はその他の修正の適用要否に係る最終選択を行う機会が多い。
ユーザが適切な判断を下すためには、明確で意味のある情報が必須である。
e. 行政及び情報共有機関を含むその他の責任関係者
● 法の執行機関、セキュリティ機関及びその他の行政機関は、医療インフラ及びそ
の他の重要なインフラを保護するため、必要に応じて医療機器のサイバーセキュ
リティの脅威と脆弱性に関する情報を政府機関の各部署間で共有する必要がある。
● 情報を収集又は共有する組織や、セキュリティに関する助言若しくは専門知識を
提供する組織も、セキュリティ情報の重要な情報源及びサポートリソースとなる
可能性がある。これらの組織としては、 ISAO、ISAC 等の情報共有ネットワー
ク、コンピュータ緊急対策チーム（Computer Emergency Response Teams:CERT）
等の啓発機関等の政府機関や民間機関が存在する。これらの責任関係者は、地域
及び市場によって相違し得る。
6.2.3

情報の種類

サイバーセキュリティの脆弱性は、ソフトウェア及びハードウェア、自社製又はサード
パーティ製の複数の製品コンポーネントに対して脅威を引き起こす可能性がある。患者
危害を防ぐために共有すべき情報としては、以下に例示した事項等が挙げられる。
●

脆弱性の影響を受ける製品及びその影響の内容

●

その他の製品に使用されているコンポーネントの脆弱性情報

●

医療機器のセキュリティに影響し得る IT 機器の情報

●

攻撃又は潜在的な攻撃に関する情報及び悪用コードの利用可能性に関する情報

●

インシデントの確認

●

パッチ及びその他の緩和策（補完的対策等）の利用可能性

●

暫定措置としての医療機器の使用と統合に関する追加指示

2020/3/18

Page 25 of 51

27／53 ページ