セキュリティインシデント処理ポリシー

キヤノンメディカルシステムズ株式会社(以下「当社」という)が提供する医療機器及び医療用アプリケーションを含む医療システムにおいて、製品のセキュリティを確保し、サイバー攻撃からお客様を守るために、セキュリティインシデントを処理するための情報を以下のプロセスで公開いたします。


  1. セキュリティインシデントの受付
  2. セキュリティインシデント報告に対する対応
  3. 協調的脆弱性情報開示

1. セキュリティインシデントの受付

セキュリティインシデントとしては、マルウェア感染、不正アクセスやサービス拒否攻撃による誤動作・機能停止等が想定されます。また、医療機器がマルウェアに感染した場合だけでなく、感染した疑いがある場合にも、「独立行政法人 医薬品医療機器総合機構(PMDA)」への報告が必要になる場合があります。そのため、セキュリティインシデントの可能性がある場合も想定します。

当社製品に関連するセキュリティインシデントを報告いただくためのウェブサイトを立ち上げています。製品のセキュリティインシデント受付に関する情報は、当社ウェブサイトの製品セキュリティ情報 インシデント報告(フォーム)から当社へご連絡ください。報告フォームはSSL/TLSによって暗号化されております。報告フォームからご連絡いただいた後のご報告者様とのコミュニケーションは電子メールにて行います。電子メール及び添付ファイルに未公開の機微情報を含む場合は、情報の第三者への意図せぬ開示を防ぐため、メールの暗号化等にご協力いただけますようお願いいたします。
製品セキュリティのための保守契約を締結されている当社製品に関しては、保守契約に従い、当社支社・支店・サービスセンターまでご連絡ください。

2. セキュリティインシデント報告に対する対応

セキュリティインシデントの報告を受けた場合、当社内において苦情として処理します。苦情のリスク評価は実際に発生した事象に対して評価を行います。そのリスク評価の中で、原因究明、製品の有効性及び安全性に関する影響等を評価し、生産品及び既納品への対応(医療機関への情報提供、回収・改修等、添付文書、取扱説明書の改訂等)を決定します。
健康被害の発生または健康被害の発生の恐れがある場合、及び、マルウェアの感染により医療機器に不具合が生じた場合は、PMDAへの不具合報告を行います。

3. 協調的脆弱性情報開示

当該製品の対策又はリスク低減策が準備出来次第、当社ウェブサイトにてお客様向けの情報提供を行うとともに、合わせて、独立行政法人情報処理推進機構(IPA)又はJapan Computer Emergency Response Team Coordination Center(JPCERT/CC)への協調的脆弱性開示を行います。CVE/CWE番号の発番が必要となった場合、JPCERT/CC経由でCVE 番号/CWE番号の発番を行い、ご報告者様をはじめとする関係者様と公開日を調整のうえ、当社ウェブサイトにてセキュリティアドバイザリを公開いたします。CVE番号/CWE番号が発行されると、JPCERTを経由して、日本国外の各国のCERTに情報が提供されます。

また、当社製品内に保持されている個人データに消失・改ざん等の事実が確認された場合、各国の個人情報保護の関係当局への報告を行います。

お客様がポリシー提供をご依頼された場合に、本ポリシーをポリシー文書として提供いたします。