Canon Medical Systems Corporation (en adelante, "nuestra empresa") proporciona dispositivos y sistemas médicos, incluidas aplicaciones médicas, y para garantizar la seguridad de estos productos y proteger a los clientes de los ciberataques, divulgaremos información sobre cómo manejar los incidentes de seguridad a través del siguiente proceso.

1. Contacto de incidentes de seguridad
2. Respuesta a los contactos de incidentes de seguridad
3. Divulgación cooperativa de vulnerabilidades

---

Los incidentes de seguridad incluyen fallas y cortes de servicio debido a infecciones de malware, acceso no autorizado y ataques de denegación de servicio. Además, no solo cuando un dispositivo médico está infectado con malware, sino también cuando existe la sospecha de que el dispositivo ha sido infectado, puede ser necesario informarlo a la Agencia de Productos Farmacéuticos y Dispositivos Médicos (PMDA). Por lo tanto, también asumimos que existe la posibilidad de un incidente de seguridad.

Hemos lanzado un sitio web para informar incidentes de seguridad relacionados con nuestros productos. Para obtener información sobre cómo recibir incidentes de seguridad de productos, comuníquese con nosotros mediante el Informe de incidentes de información de seguridad de productos (formulario) en nuestro sitio web. El formulario de informe está encriptado mediante SSL/TLS. Después de comunicarse con nosotros mediante el formulario de informe, toda la comunicación con el informante se realizará por correo electrónico. Si un correo electrónico o un archivo adjunto contiene información confidencial no revelada, coopere cifrando el correo electrónico para evitar la divulgación involuntaria de la información a terceros.

En el caso de nuestros productos que tienen un contrato de mantenimiento para la seguridad del producto, comuníquese con nuestra sucursal, oficina local o centro de servicio de acuerdo con el contrato de mantenimiento.

---

Si recibimos un informe sobre un incidente de seguridad, lo procesaremos como una queja dentro de nuestra empresa. La evaluación de riesgos de quejas se realiza en función de los eventos que realmente ocurren. Durante la evaluación de riesgos, investigamos la causa, evaluamos los efectos sobre la eficacia y la seguridad del producto y decidimos qué hacer con los productos fabricados y los productos ya entregados (suministro de información a instituciones médicas, recogida/reparación, etc., revisión de prospectos, manuales de instrucciones, etc.).

Si se produce un peligro para la salud o existe un riesgo de peligro para la salud, o si se produce un mal funcionamiento en un dispositivo médico debido a una infección de malware, informaremos del mal funcionamiento a PMDA.

---

Tan pronto como estén listas las contramedidas o las medidas de reducción de riesgos para el producto, proporcionaremos información a nuestros clientes en nuestro sitio web, y también proporcionaremos información a la Agencia de Promoción de Tecnologías de la Información (IPA) o al Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC). Si se hace necesario emitir un número CVE/CWE, emitiremos un número CVE/CWE a través de JPCERT/CC y, después de coordinar la fecha de publicación con el informante y otras partes relacionadas, publicaremos el aviso de seguridad en nuestro sitio web.
Una vez que se emite un número CVE/CWE, la información se proporcionará a los CERT de cada país fuera de Japón a través de JPCERT.

Además, si se confirma que los datos personales almacenados en nuestros productos se han perdido o alterado, lo informaremos a las autoridades correspondientes para la protección de la información personal en cada país.

Si un cliente solicita una política, se la proporcionaremos como documento de política.