米国議会が医療機器サイバーセキュリティ強化法案を上程 ブックマークが追加されました
最新動向/市場予測
米国議会が医療機器サイバーセキュリティ強化法案を上程
【第154号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
第154号 2022.4.19公開
2022年3月15日、米国連邦議会下院のマイケル・C・バージェス議員(協和党・テキサス州選出)とアンジー・クレイグ議員(民主党・ミネソタ州選出)は共同で、2022年サイバー医療保護変革(PATCH: Protecting and Transforming Cyber Health Care)法案を提出しました。その後2022年3月31日には、上院のタミー・ボールドウィン議員(民主党・ウィスコンシン州選出)、ビル・カシディー議員(共和党・ルイジアナ州選出)が共同で、同様の法案を提出し、上下院の双方で審議が始まりました。
本法案は、現行の連邦食品医薬品化粧品法を一部改正して、サイバー機器の市販前申請時の情報に含まれるサイバーセキュリティを保証し、サイバー機器のライフサイクルを通して、安全性と有効性の合理的な保証を示すことを目的としています。
この法案は、(a) 一般的事項、(b) サイバーセキュリティ要求事項、(c) 実質的同等性から構成されています。この中でサイバーセキュリティ要求事項をみると、以下のような内容になっています。
(1) 製造業者は、市販後におけるサイバーセキュリティ脆弱性や悪用を適切にモニタリングし、特定して処理する計画を有すべきである
(2) 製造業者は、
(A) 食品医薬品局への申請の一部として、協調的な脆弱性情報開示のための計画と手順を有すべきである
(B) サイバー機器の安全性や有効性の合理的な保証を示すために、このような保健福祉省長官が要求する可能性があるその他の情報を収集し、維持すべきである
(3) 製造業者は、以下のような取組のために、サイバー機器のライフサイクルを通して、更新やパッチを、サイバー機器および関連システムに対して適用可能にするプロセスや手順を設計、構築、維持すべきである
(A) 合理的に正当化された日常的なサイクル上で、既知の受容できない脆弱性
(B) できるだけ早くサイクル外で、コントロールできないリスクを引き起こす可能性がある重大な脆弱性
(4) ユーザーに提供される商用のオープンソースで汎用的なソフトウェアコンポーネントを含む、ソフトウェア部品表(SBOM)を、保健福祉省長官向けに備え付けるべきである
なお、米国食品医薬品局(FDA)傘下の医療機器・放射線保健センター(CDRH)は、2021年10月16日、2022会計年度に発行を計画している各種ガイダンスの一覧表および優先順位を示した「2022会計年度CDRHガイダンス提案」を公表し、Aリスト(FDAが2022会計年度中に発行したい優先的な機器ガイダンス文書)の中に、「医療機器におけるサイバーセキュリティ:品質システムの考慮事項と承認申請手続きの内容」を掲げています。
さらにFDAは、2022年4月8日、「医療機器におけるサイバーセキュリティ:品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」を公表し、パブリックコメントの募集を開始しています(募集期間:2022年7月7日まで)。その中で、サイバーセキュリティが機器安全と品質システム規制(QSR)の一部であることを明言した上で、製造業者が、トータル製品ライフサイクル(TPLC)サイバーセキュリティマネジメント計画を申請時に提出することや、SBOMによる文書化機能を市販前申請に含めることなどを推奨しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国FDAは、医療機器サイバーセキュリティについて、製造業者、医療施設、医療提供者および独立系サービス組織(ISOs)の間の共有責任であるという姿勢をとっている。同様の考え方は、日本の厚生労働省が採択した国際医療機器規制当局(IMDRF)の「医療機器サイバーセキュリティの原則及び実践」にも反映されている。従って、日本国内で医療機器の治験・臨床試験に関わる医療機関や臨床現場で使用する医療機関も、ステークホルダーの一員として、共有責任を有する範囲はどこか、どのような形で医療機器サイバーセキュリティの強化に関わるかについて、今後の方向性を確認しておく必要がある。
医療機器メーカー
・米国事業を展開する医療機器の製造業者およびそのサプライヤー/パートナーは、品質保証・薬事部門と情報セキュリティ部門が連携して、医療機器開発におけるSBOM活用に関連したセキュリティポリシーや手順の現状分析を行い、特に、脆弱性/パッチ管理やリスクコミュニケーション活動に関して、改善すべき点があれば対策を講じておく必要がある。
医療品メーカー
・米国市場において、医療機器と医薬品のコンビネーション製品を開発・提供するメーカーは、サイバーセキュリティに関して、医療機器メーカーと同等レベルの共有責任が発生することを念頭に置いて、トータル製品ライフサイクルの最適化の観点から、SBOMを活用した市販前対策と市販後対策の情報連携など、医薬品事業を前提とした既存のセキュリティポリシーや手順を見直しておく必要がある。
サプライヤー
・医療機器メーカーのグローバル事業展開を支援するテクノロジーサプライヤーは、EU諸国や米国に先行導入される国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則および実践」に準拠したサイバーセキュリティ要求事項の内容を踏まえた上で、日本国内に、その経験・ノウハウを横展開できる仕組みを作るべきである。
関連記事 [外部サイト]
- CONGRESS.GOV「H.R.7084 - PATCH Act of 2022」(2022年3月15日)
- U.S. Senators Bill Cassidy「Cassidy, Baldwin Introduce Bill to Secure Health Care Infrastructure」(2022年3月31日)
- U.S. Food & Drug Administration (FDA)「CDRH Proposed Guidances for Fiscal Year 2022 (FY2022)」(2021年10月16日)
- U.S. Food & Drug Administration (FDA)「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions - Draft Guidance for Industry and Food and Drug Administration Staff」(2022年4月8日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。