インターネットの普及やITの急速な進歩に従い、医療機器、サービスにおいてもサイバー攻撃の脅威に晒されています。本文書は、株式会社オサダ、長田電機工業株式会社、長田電機工業株式会社 名古屋工場(以下、「オサダグループ」)が開発・提供する製品・サービスの情報セキュリティに関する基本方針を定めたものです。
1.目的
オサダグループでは、お客様や患者様に確かな安心をお届けするために、製品・サービスにおけるサイバーセキュリティ対策に取り組みます。
2.法令・ガイダンスの遵守
オサダグループでは、製品・サービスの設計・開発において、適用法規制に準拠して、規格やガイダンスの要求事項を盛り込んだ対策基準を策定し、これらを遵守します。
3.製品・サービスのセキュリティ管理体制
オサダグループでは、オサダグループの製品・サービスにおけるサイバーセキュリティリスクを低減するための体制を構築し、従業員に対して教育や訓練を行います。
4.セキュアな設計・開発プロセスの確立
オサダグループでは、脆弱性やリスクを低減させるセキュアな設計・開発を行います。また、対策基準を定期的に見直し、新たな脅威への対策を製品・サービスに反映します。
5.脆弱性・インシデント対応
オサダグループでは、オサダグループの製品・サービス(OS等のサードパーティ製のソフトウェアを含む)に関して、お客様や患者様へ危害を引き起こす、又は製品・サービスの基本性能に影響を及ぼす可能性がある脆弱性が発見された場合には、製品・サービスのライフサイクルに応じて適切な対応を実施します。
6.情報公開
オサダグループでは、オサダグループの製品・サービスのライフサイクルに応じて、製品・サービスに関する脆弱性情報、インシデント情報およびそれらへの対策状況、お客様にて実施いただく対応策などの情報を提供し、お客様への安心を維持・向上させます。また、お客様へ提供する情報の信頼性を高めるため、外部機関との情報連携を推進します。
7.製品・サービスの販売終了(EoS)及び製品ライフサイクルの終了(EoL)
オサダグループでは、製品・サービスの販売終了後に一定期間の通常のサポート及び通常サポート終了後に限定的なサポートをお客様に提供します。こちらのサポート期間に関して製品ごとにお客様にwebサイトでご連絡します。
8.安全な製品・サービスの提供
オサダグループでは、お客様にてセキュリティリスクを管理可能な製品・サービスの提供を目指します。
9.継続的な改善
オサダグループでは、本文書で定めた基本方針に沿って製品・サービスのセキュリティレベル維持および改善を含めた活動を継続的に実施します。