医療分野で使用される機器・システムのセキュリティに関する保守の

付表Ⅲ：
医療分野で使用される機器・システムの
セキュリティに関する保守のポリシーについての質問票
1
A.システムについて
以下の設問に対して該当する項目に✔をつけてください。
１．御社の提供する医療用システムの自社製ソフトウエアについて、脆弱性の調査を行っ
ていますか？
１）定期的に行っており、発見された場合は対策を行っている□
２）製品出荷時には調査して対策も行ったが、その後の継続的な調査・対策は行って
いない□
３）脆弱性調査は行っておらず、脆弱性の有無や状況について把握していない□
４）その他 □（具体的に記載してください：
）
２．御社の提供する医療用システムの自社製ソフトウエアに脆弱性が発見された場合の対
応方針について
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
３．御社の提供する医療用システムで用いる他社製ソフトウエアのうち OS に脆弱性が発
見された場合の対応方針
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
４．御社の提供する医療用システムで用いる他社製ソフトウエアのうちブラウザやプラグ
インに脆弱性が発見された場合の対応方針
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に対策は行っていない □
５）その他 □（具体的に記載してください：
2
）
５．御社の提供する医療用システムで用いる自社製のファームウエアに脆弱性が発見され
た場合の対応方針
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
６．御社の提供される医療用システムで用いる他社製のソフトウエアの脆弱性に対する対
応方針について、今後脆弱性対策をどのように行うべきであると考えますか？
１）メーカの責任で無償にて行うべきである □
２）メーカの責任で行うべきであるが有償で行うのが好ましい □
３）メーカは公開された修正プログラムをユーザ側に提示し、適用はユーザ側で行う
べきである □
４）特に脆弱性対策を行う必要はない □
５）その他 □（具体的に記載してください：
）
７．御社の提供される医療用システムで用いる他社製のソフトウエアの脆弱性の対策を行
う際に、自社製システムに不具合を生じる可能性とその対策について、どうお考えで
すか？
１）他社製システムによる不具合は自社では責任が持てないため、予め不具合が生じ
る可能性があることを明示して、実際の適用はユーザ責任で行ってもらうべきで
ある
□
２）自社製システムに対してテスト環境で修正プログラムを実際に適用して不具合を
生じないことを確認してから、自社で適用すべきである。 □
３）自社製システムに対してテスト環境で修正プログラムを実際に適用して不具合を
生じないことを確認してから、実際の適用はユーザで行うべきである。 □
４）自社製システムに不具合を生じさせるような脆弱性対策は行うべきではないので、
修正プログラムの適用は行わない。 □
５）その他 □（具体的に記載してください：
）
８．７．御社の提供される非医療系システムの自社製ソフトウエアに脆弱性が発見された
場合の対応方針について（非医療系システム：薬機法対象外）
１）自社にて修正プログラムを適用する □
3
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
９．御社の提供する非医療用システムで用いる他社製ソフトウエアのうち OS に脆弱性が
発見された場合の対応方針について（非医療系システム：薬機法対象外）
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
１０．御社の提供する非医療用システムで用いる他社製ソフトウエアのうちブラウザや
プラグインに脆弱性が発見された場合の対応方針について（非医療系システム：薬機
法対象外）
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
１１．御社の提供する非医療用システムで用いる自社製のファームウエアに脆弱性が発
見された場合の対応方針において（非医療系システム：薬機法対象外）
１）自社にて修正プログラムを適用する □
２）ユーザに修正プログラムを提供して適用してもらう □
３）保守業者に依頼して適用してもらう □
４）特に調査・対策は行っていない □
５）その他 □（具体的に記載してください：
）
１２．御社の提供される非医療用システムで用いる他社製のソフトウエアの脆弱性に対
する対応方針について、今後脆弱性対策をどのように行うべきであると考えますか？
１）メーカの責任で無償にて行うべきである □
２）メーカの責任で行うべきであるが有償で行うのが好ましい □
4
３）メーカは公開された修正プログラムをユーザ側に提示し、適用はユーザ側で行う
べきである □
４）特に脆弱性対策を行う必要はない □
５）その他 □（具体的に記載してください：
）
１３．御社の提供される医療用システムで用いる他社製のソフトウエアの脆弱性の対策
を行う際に、自社製システムに不具合を生じる可能性とその対策について、どうお考
えですか？
１）他社製システムによる不具合は自社では責任が持てないため、予め不具合が生じ
る可能性があることを明示して、実際の適用はユーザ責任で行ってもらうべきで
ある
□
２）自社製システムに対してテスト環境で修正プログラムを実際に適用して不具合を
生じないことを確認してから、自社で適用すべきである。 □
３）自社製システムに対してテスト環境で修正プログラムを実際に適用して不具合を
生じないことを確認してから、実際の適用はユーザで行うべきである。 □
４）自社製システムに不具合を生じさせるような脆弱性対策は行うべきではないので、
修正プログラムの適用は行わない。 □
５）その他 □（具体的に記載してください：
）
5
B.保守体制について
１．遠隔保守を行っておられる部署はどこに所在していますか？
１）国内 □
２）国外 □
３）国内・国外の両方 □
４）回答できない □
２．遠隔保守を担当しておられる人員数（総数）をお答えください
１）１０名以内 □
２）１１名～５０名 □
３）５１名～１００名 □
４）１００名～２００名 □
５）２００名以上 □
３．２の人数の内、愛知医大病院の担当者の人数をお答えください
１）１名 □
２）2 名～５名 □
３）６名～１０名 □
４）１０名～２０名 □
５）２１名以上 □
４．３の担当者の所属内訳をお答えください
１）正社員のみ □
２）正社員の契約社員 □
３）正社員と委託会社社員
□
４）契約社員と委託会社社員 □
５）委託会社社員のみ □
６）その他□（具体的に記載してください：
）
５．４の担当者について
１）全員の経歴を把握している
２）一部担当者の経歴は把握していない
３）全ての担当者の経歴は把握していない
４）その他□（具体的に記載してください：
6
）
６．遠隔保守に用いる端末についてお答えください
１）病院毎に専用端末を用いている
□
２）病院毎の専用端末は用いていない □
３）その他 □（具体的に記載してください：
）
７．遠隔保守に用いる端末の管理方法についてお答えください □
１）端末の USB ポートは使用不能としている □
２）端末の CD/DVD ドライブは使用不能としている
□
３）端末の PC には盗難防止（チェーンロックなど）の措置を講じている □
４）上記のいずれも行っていない □
５）その他 □（具体的に記載してください：
）
８．端末で用いる保守用のアプリケーションについてお答えください
１）シマンテック社の PC Anywhere を用いている
□
２）インターコム社の LAPLINK を用いている □
３）その他 □（具体的に記載してください：
）
９．遠隔保守に用いているネットワークをお答えください □
１）病院の用意した常時接続の専用線を用いている
□
２）病院の用意したダイアルアップ接続の ISDN 回線を用いている □
３）その他 □（具体的に記載してください：
）
10．遠隔保守に用いている部屋についてお答えください（該当するもの全てに✔）
１）IC カード等での入退室管理を行っている □
２）監視カメラにて記録している □
３）担当者の私物のスマートホンやタブレット等の持込みを禁止している □
４）上記のいずれも行っていない □
５）その他 □（具体的に記載してください：
）
以上
7

Download Report