会社概要
医療機器情報セキュリティ基本方針
① トップレベルの方針
- a) 当社は、医療機器関連の情報資産とそれを支えるインフラストラクチャを、内部及び外部のセキュリティ脅威及びハザードから保護します。
- b) 当社は、医療機器の機密情報(個人情報、顧客情報、知的財産等)を、攻撃者による不正な情報取得や不正使用から保護します。
- c) 当社は、安全性に影響を与える可能性のある内部及び外部のセキュリティ脅威及びハザードから、医療機器の使用者及び患者を保護します。
- d) 当社は、医療機器及び医療機器が保存・処理する機密情報の機密性、完全性、及び可用性を維持します。
- e) 当社は適用される法律、法定、規制または契約上の義務、業界の主要な慣行、および監査手続きに関するコンプライアンスを遵守するための方針、基準、手順を確立し、維持します。
- f) 当社は、本方針および関連するセキュリティ対応手順を確立し、文書化、配布し、定期的に見直しを行うことで、成熟度の高い開発を支援し、適用される法律、法令、規制、または契約上の義務、業界のガイダンスに準拠します。
② セキュリティ運用方針
- a) 当社は、セキュリティ リスクマネジメントプロセスを確立し、運用します。
- b) 当社は、製品の脅威事象並びにインシデントに関する業界の情報源を監視し、セキュリティのトリアージを行うプロセスを備えた、脅威事象およびインシデント処理プロセスを確立し、運用します。
③ セキュリティ対策の実行及びサポート方針
a) 設計・開発
- 当社は、セキュリティを考慮した製品の開発ライフサイクルを確立し、維持します。
- 当社は、製品のセキュリティパッチの適用やアップデートをお客様へ提供するサポート期間を定めます。
b) 脆弱性の対応
- 当社は、脅威と脆弱性の情報を監視するための責任者を割り当て、運用します。
- 当社は、製品に重大な脆弱性が見つかった場合、必要な対応策を迅速に実施します。
- 当社は、セキュリティの脆弱性について、製品に対する影響や対策を含めたセキュリティの脆弱性情報をお客様をはじめとする利害関係者に開示します。
c) 契約とアウトソーシング
- 当社は、外部のサードパーティによって生成、アクセス、保存、送信、処理、またはその他の方法で取り扱われる医療機器および機密情報を保護します。
- 当社は、必要に応じて、外部から調達するサービスやコンポーネントのセキュリティ設計および実装に関与し、ベンダーリスクを含むセキュリティリスクを評価するためのプロセスを確立します。
- 当社は、必要に応じて、製品やサービスのセキュリティ脆弱性を報告し、低減するための契約上の義務をサプライヤに要求します。
d) フィールドサービス
- 当社は、当社製品の販売業者を通じ、医療提供機関に販売またはリースされた医療機器を追跡するプログラムを確立し、維持します。
- 当社は、当社製品の販売業者を通じ、使用者に求める技術的なセキュリティ要求事項を明確にし、実施されていることを確認します。
- 当社は、実現可能な場合、リモートサービスを用いてお客様の機器の状態をモニタします。
- 当社は、機密情報を確実に消去するための廃棄プロセスを確立し、維持します。
2021年9月15日
検査機器事業本部
経営者
検査機器事業本部
経営者
▲ ページトップへ