IMDRF/CYBER WG/N60FINAL:2020

6.6.2

ヘルスケアプロバイダ

ヘルスケアプロバイダは、公表されたサイバーセキュリティ EOL において製造業者が
設定した医療機器の製品寿命より大幅に長い使用期間を設定することが多い。しかし、
脅威の状況は時代の経過と伴に変化する。新しい脅威の出現により、時代遅れの技術を
使用するリスク及び対応に要する経費が増加するが、製造業者及びヘルスケアプロバイ
ダは共同責任として対処しなければならない。医療機器のライフサイクル段階の機能と
して以下に示した推奨事項は、ヘルスケアプロバイダが医療機器の課題に取り組むため
の一助になり、既定のサイバーセキュリティ EOS 日以前に計画を作成する上で役立つ
と考えられる。
●

●

サポート:
a.

製品ライフサイクルの計画作成、サイバーセキュリティに関する理解及び透明
性を確保するために、製造業者に明確な連絡窓口と情報伝達プロセスを要求す
る。

b.

サポートライフサイクルが最も短いソフトウェアコンポーネントが、最終的に
医療機器のサポート及びサイバーセキュリティに影響を与えるため、SBOM を
要求する。顧客は、SBOM を入手することにより、医療機器のライフサイクル
に影響を与えるコンポーネントをより適切に理解することが可能となり、補完
的対策等のリスクコントロール手段に用いられる追加のハードウェアに関する
情報を把握することができる。

c.

製造業者、サードパーティのサービス業者又はプロバイダ自身のリソース及び
管理を通じて、使用中の医療機器を適切にサポートし、正常な稼働を維持する。
例えば、ネットワークセキュリティ、資産セキュリティ、アイデンティティ/ア
クセスマネジメント、セキュリティ業務等が挙げられる。

d.

医療機器の使用環境における新たなリスクや進化するリスクを評価し、適切な
緩和策によってリスクコントロールするために最大限努力する。この対応策と
しては、ネットワークのセグメンテーション、ユーザアクセスの制限、リスク
アセスメント、セキュリティ試験、ネットワーク監視等が挙げられる。

e.

サポート対象外となり、患者安全及び医療ネットワークセキュリティを脅かす
可能性があるレガシー医療機器の使用を適切に段階的に終了し、セキュリティ
対策で保護可能且つサポートを受けられる医療機器に置換するため、製造業者
が定めるサイバーセキュリティ EOS 日以前に計画を作成する。

限定的なサポート:
a.

上記の「サポート」の項目に記載した作業「c」、「d」及び「e」を引き続き行
う。

2020/3/18

Page 42 of 51

44／53 ページ