米国の医療機関を中心に2004年から2005年にかけてマルウェアNimdaの大規模感染が発生し、製造販売業者等には、医療機関との連携及び医療機器に導入されたソフトウェアとその保守計画に関する情報提供が求められるようになった。既知の脆弱性に対する対策を含め、セキュリティ対策は設計・開発段階で実現し、新たな脆弱性については協調的脆弱性開示（Coordinated Vulnerability Disclosure：CVD）等によって予防的対策の時間を確保し、意図しない情報開示による脆弱性の悪用を回避する取組みを拡大してきた。このために必要な情報共有活動のための国際連携組織（CSIRT等）・システムも構築され、医療機器の製造業者等も積極的にアドバイザリー情報等の開示を行っている。
米国では、製造業者は、医療機関に対し、商談の段階で、医療機器セキュリティに関する製造業者の情報開示説明書（MDS2）によって医療機器が有するセキュリティ機能を医療機関に開示し、MDS2 2019年版以降は部分的ではあるが、ソフトウェア部品表（SBOM）が追加され、導入ソフトウェアも提示してきた。これにより、医療機関は、製造業者のCS対策に関する状況及び保守等に関するポリシーを評価した上で購入を決定できる。ドイツ、イタリア等欧州でもMDS2を利用するケースは増加しており、ISO/IEC TS 81001-2-2として国際標準化が進められている。
本稿では、IMDRFガイダンス等に基づく国際的に求められているCS対策の基本的アプローチ、情報共有等に係る取組み等について紹介すると同時に、現状の課題等についても触れ、日本において考慮すべき事項を考える機会としたい。