米国FDAが医療機器市販前サイバーセキュリティガイダンス改訂版を公開 ブックマークが追加されました
最新動向/市場予測
米国FDAが医療機器市販前サイバーセキュリティガイダンス改訂版を公開
【第190号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年9月27日、米国食品医薬品局(FDA)は、「医療機器のサイバーセキュリティ:品質システムの考慮事項と承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」最終版を公開しました。
第190号 2023.10.25公開
FDAは、2014年10月2日に「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」を公開しましたが、その後改訂作業を開始し、2018年10月18日に「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」を公開し、さらに2022年4月8日には「医療機器のサイバーセキュリティ:品質システムの考慮事項と承認申請手続の内容 -業界および食品医薬品局スタッフ向けガイダンス草案」を公開し、パブリックコメント手続を実施していました(募集期間:2022年7月7日まで)。
今回の改訂版ガイダンスは以下のような構成になっています。
Ⅰ. イントロダクション
Ⅱ. スコープ
Ⅲ. 背景
Ⅳ. 一般原則
A. サイバーセキュリティは機器の安全性および品質システム規制の一部である
1. セキュア製品開発フレームワーク(SPDF)がQS規制を満たす手段の1つとなる可能性がある
B. セキュリティ向けの設計
C. 透明性
D. 申請の文書化
Ⅴ. SPDFを利用したサイバーセキュリティリスク管理
A. セキュリティリスク管理
1. 脅威モデリング
2. サイバーセキュリティリスク評価
3. 相互運用性の考慮事項
4. サードパーティ・ソフトウェア・コンポーネント
5. 未解決の異常のセキュリティ評価
6. TPLCセキュリティリスク管理
B. セキュリティ・アーキテクチャ
1. セキュリティ制御の実装
2. セキュリティ・アーキテクチャのビュー
C. サイバーセキュリティ・テスト
VI.サイバーセキュリティの透明性
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項
B. サイバーセキュリティ管理計画
附表1. セキュリティ制御の分類および関連する推奨事項
A. 認証
B. 認可
C. 暗号化
D. コード、データ、実行整合性
E. 機密性
F. イベント検知とロギング
G. 強靭性と復旧
H. ファームウェアとソフトウェアのアップデート
附表2. セキュリティアーキテクチャ・フロー向けの申請の文書化
A. ダイアグラム
B. アーキテクチャ・ビュー向けの情報の詳細
附表3. 臨床試験使用機器免除(IDE)向けの申請の文書化
附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング
附表5. 用語
今回公開されたガイダンスの変更点についてみると、連邦食品医薬品化粧品法の一部を改正して、サイバー機器の市販前申請時の情報に含まれるサイバーセキュリティを保証するとともに、サイバー機器のライフサイクルを通して安全性と有効性の合理的な保証を示すことを目的とする「2022年サイバー医療保護変革(PATCH)法」(2022年12月29日施行)に準拠した文言を追加しています。
また、「Ⅴ. SPDFを利用したサイバーセキュリティリスク管理」では、「A. セキュリティリスク管理」に「3. 相互運用性の考慮事項」が追加されました。ここでは、エンドツーエンドの医療機器システムのサイバーセキュリティを評価する際に、相互運用性の能力が安全性と有効性を維持している点を考慮することが重要だと強調しています。
さらに、Ⅴの「B. セキュリティ・アーキテクチャ」および附表2の「A. ダイアグラム」において、医療機器製造業者に対し、医療機器システムのアーキテクチャやインタフェース、通信プロトコル、脅威、システムを通して利用されるサイバーセキュリティ制御を記述するのに役立つダイアグラムを提供するよう推奨しています。
加えて、「附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング」が追加され、市販前ガイダンスを通して特定された特別な文書化の要素、その文書に関連するガイダンスのセクション、文書化がIDE申請向けに推奨しているかについて提示しています。ここでは、「機器のサイバーセキュリティ設計および文書化は、その機器のサイバーセキュリティリスクとともにスケーリングすることが期待される」と記述されています。IDE申請については、「附表3. 臨床試験使用機器免除(IDE)向けの申請の文書化」で取り上げています。
なおソフトウェア部品表(SBOM)の利用については、「VI.サイバーセキュリティの透明性」の「A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項」、附表2の「B. アーキテクチャ・ビュー向けの情報の詳細」、「附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング」の中で触れています。前述のPATCH法では、サイバーセキュリティ要求事項の中に、「ユーザーに提供される商用のオープンソースで汎用的なソフトウェアコンポーネントを含む、ソフトウェア部品表(SBOM)を、保健福祉省長官向けに備え付けるべきである」と明記しており、このような点も改訂版ガイダンスに反映されています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・医療機器サイバーセキュリティについて、製造業者、医療施設、医療提供者および独立系サービス組織(ISOs)の間の共有責任であると捉える米国FDAの姿勢は、国際医療機器規制当局(IMDRF)の「医療機器サイバーセキュリティの原則及び実践」(2020年3月18日)および日本の厚生労働省の「医療機関における医療機器のサイバーセキュリティ確保のための手引書」(2023年3月31日)にも影響を及ぼしている。従って、日本国内で医療機器の治験・臨床試験に関わる医療機関や臨床現場で使用する医療機関も、ステークホルダーの一員として、共有責任を有する範囲はどこか、どのような形で医療機器サイバーセキュリティの強化に関わるかについて、早急に関連するポリシー類や手順を確認して、インシデント対応計画に反映させる必要がある。
医療機器メーカー
・日米欧で事業を展開する医療機器の製造業者およびそのサプライヤー/パートナーは、品質保証・薬事部門と情報セキュリティ部門が連携して、医療機器開発および市販後安全対策におけるSBOM活用に関連したセキュリティポリシーや手順の現状分析を行い、特に、脆弱性/パッチ管理や日米欧の規制当局および各国・地域の患者/消費者とのリスクコミュニケーション活動に関して、改善すべき点があれば早急に対策を講じておく必要がある。
医療品メーカー
・日米欧市場において、医療機器と医薬品のコンビネーション製品を開発・提供するメーカーは、サイバーセキュリティに関して、医療機器メーカーと同等レベルの共有責任が発生することを念頭に置いて、トータル製品ライフサイクルの最適化の観点から、SBOMを活用した市販前対策と市販後対策の情報連携など、医薬品事業を前提とした既存のセキュリティポリシーや手順を早急に見直す必要がある。
サプライヤー
・医療機器メーカーの日米欧事業展開を支援するテクノロジーサプライヤーは、厚生労働省の「医療機関における医療機器のサイバーセキュリティ確保のための手引書について」と、米国FDAの「医療機器のサイバーセキュリティ:品質システムの考慮事項と承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」および欧州委員会医療機器調整グループの「MDCG 2019-16 改訂第1版 医療機器向けサイバーセキュリティガイダンス」とのサイバーセキュリティ要求事項に関する差分を把握し、各国・地域における情報共有・分析組織(ISAO)やSBOM利用、インシデント対応などに係る経験・ノウハウを横展開できる仕組みを作るべきである。
関連記事 [外部サイト]
- U.S. Food and Drug Administration (FDA)「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions - Guidance for Industry and Food and Drug Administration Staff」(2023年9月27日)
- U.S. Food and Drug Administration (FDA)「Cybersecurity in Medical Devices Frequently Asked Questions (FAQs)」(2023年9月27日)
- U.S. Senators Bill Cassidy「Cassidy, Baldwin Introduce Bill to Secure Health Care Infrastructure」(2022年3月31日)
- European Commission Medical Device Coordination Group (MDCG)「MDCG 2019-16 Rev.1 Guidance on Cybersecurity for medical devices」(2020年7月)
- 厚生労働省「医療機関における医療機器のサイバーセキュリティ確保のための手引書について」(2023年3月31日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。