米国FDAが医療ソフトウェアPre-Certパイロットプログラム報告書を公表 ブックマークが追加されました
最新動向/市場予測
米国FDAが医療ソフトウェアPre-Certパイロットプログラム報告書を公表
【第166号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年9月26日、米国食品医薬品局(FDA)は、「ソフトウェア事前認証(Pre-Cert)パイロットプログラム:テーラーメイドのトータル製品ライフサイクル手法と重要な結果」と題する報告書を公表しました。
第166号 2022.10.19公開
Pre-Certパイロットプログラムは、2017年、医療ソフトウェアの設計、開発、バリデーションなど、客観的な基準に基づき、品質や組織の卓越性を示すデジタルヘルス開発企業をあらかじめ認証することによって、審査プロセスの簡素化と負荷軽減を図ることを目的としてスタートしました。サイバーセキュリティについては、FDAの「医療機器におけるサイバーセキュリティ - 品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス」や「医療機器におけるサイバーセキュリティの市販後管理 - 業界および食品医薬品局スタッフ向けガイダンス」などに準拠しながら管理策を講じることを前提条件としています。FDAは、その後2020年9月22日、医療機器・放射線保健センター(CDRH)傘下に、デジタルヘルス専門部署となる「デジタルヘルス・センター・オブ・エクセレンス」を創設しています。
今回FDAが公表した報告書は、Pre-Certパイロットプログラムの検証結果をとりまとめたものであり、以下のような構成になっています。
- エグゼクティブサマリー
- 背景
- Pre-Certパイロット:適応性のある規制アプローチの開発を告知する第一段階
・パイロットにおける後ろ向きおよび前向きテストの目標
・後ろ向き試験の概要
・前向き試験の概要 - 卓越性評価の要素のバリデーション
・卓越性評価の実施
・卓越性評価の要素 - 重要業績評価指標(KPI) - Pre-Certパイロットにおける安全性と有効性の合理的な保証の評価
- 新たな法的権限へのニーズ
- 謝辞と追加的情報
- 附表A - パイロット卓越性評価からの観察結果:卓越性の原則と重要業績評価指標の目標
- 附表B - パイロット卓越性評価からの観察結果:重要業績評価指標
- 参考文献 - KPIとメトリクス
セキュリティについては、「卓越性評価の要素 - 重要業績評価指標(KPI)」の中で、以下の通り、KPIの1つに掲げています。
- 不満
- データ品質
- 欠陥
- デバイスのアクティブ化/ユーザーの遵守
- リグレッションテスト
- リリース
- ロールバック
- サービス
- セキュリティ
またFDAは、「Pre-Certパイロットにおける安全性と有効性の合理的な保証の評価」の中で、組織的評価が、中程度のリスクを有する全てのデバイスにおけるデバイス固有の臨床パフォーマレンスレビューおよびサイバーセキュリティレビューを置き換えるには不十分であること、そして、これらの要素におけるデバイス固有のレビューは、高程度のリスクを有する新たなデバイスについては、特に価値があることを指摘しています。
さらにFDAは、「新たな法的権限へのニーズ」の中で、トータル製品ライフサイクル(TPLC)全体に渡って、必要な時に、ソフトウェアやセキュリティの迅速なアップデートを実施することによって、進化する医療機器ソフトウェアのリスクを低減することができるとしています。
なお本報告書では、2022年以降のステップについて、以下のような方針を提示しています。
- プログラムおよびテーラーメイドのTPLCアプローチに関するユースケースからの教訓を公表する
- パイロットテストを活用して、規制イノベーションを前進させる取組みを支援する
Pre-Certパイロットプログラムは、従来からの製品認証に加え、医療ソフトウェアを開発・提供する企業の文化などに組織的要件を重視した点が特徴でしたが、今後、セキュリティにおける製品と組織の関係がどのような方向に進むのか注目されます。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・今回FDAが公表した報告書では、トータル製品ライフサイクル(TPLC)アプローチに基づく医療ソフトウェアのサイバーリスク低減策の有効性を指摘している。SaMD(Software as a Medical Device)/SiMD(Software in a Medical Device)を利用する医療機関は、TPLCにおける自組織の位置づけや役割分担を再確認して、医療ソフトウェアのセキュリティエコシステムに係る情報収集・共有体制を構築しておく必要がある。
医療機器メーカー/医療品メーカー
・SaMD/SiMDを新規開発・提供するメーカーは、ソフトウェア部品表(SBOM)の導入・運用など、TPLCアプローチに基づく製品セキュリティ体制を整備すると同時に、製品上で稼働する追加的なAI/機械学習機能や、そこから生成されるリアルワールドデータ(RWD)/リアルワールドエビデンス(RWE)などについても、社内の臨床開発部門、メディカルアフェアーズ部門、マーケティング・販売部門などが連携して情報を収集・分析できる仕組みづくりをしておく必要がある。
サプライヤー
・SaMD/SiMD向けにソリューションを提供するサプライヤーは、SBOMの活用など、医療ソフトウェアのサプライチェーン・セキュリティで要求される項目を再整理し、ソフトウェアベンダーや重要インフラストラクチャを構成する医療機関などを含めたエコシステムの一員として、セキュリティ情報収集・共有体制を強化する必要がある。
関連記事 [外部サイト]
- U.S. Food and Drug Administration (FDA)「The Software Precertification (Pre-Cert) Pilot Program: Tailored Total Product Lifecycle Approaches and Key Findings」(2022年9月26日)[PDF, 6.9MB]
- U.S. Food and Drug Administration (FDA)「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff」(2014年10月2日)[PDF, 324KB]
- U.S. Food and Drug Administration (FDA)「Postmarket Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff」(2016年12月28日)
- U.S. Food and Drug Administration (FDA)「FDA Launches the Digital Health Center of Excellence」(2020年9月22日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
