最新動向/市場予測

米国FDAが市販前医療機器サイバーセキュリティ管理指針改訂草案を公表

【第70号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年10月18日、米国食品医薬品局(FDA)は、「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」を公表しました。

第70号 2018.10.18公開

FDAは、今回の草案の中で、2014年10月に公表した現行版ガイダンスのアプローチを踏まえた上で、下記の通り、サイバーセキュリティリスクに応じた機器の区分を追加しています。

  • Tier 1:”高度のサイバーセキュリティリスク” (以下の要件を満たす場合)

    1)    機器が、他の医療製品または非医療製品、ネットワーク、インターネットに接続する機能を有する
    2)    機器に影響を及ぼすサイバーセキュリティインシデントが、直接、患者の危害が複数患者に及ぼす可能性がある
  • Tier 2:”標準的なサイバーセキュリティリスク”

    Tier 1機器の基準を満たさない医療機器
     

その上で、「Ⅴ. 信頼できる機器の設計:NISTサイバーセキュリティフレームワークの適用」の章を追加し、機器設計に適用するNISTサイバーセキュリティフレームワークの要求事項を、以下のような項目について挙げています。

A.    機器資産および機能の特定と保護

1.    不正使用の防止
2.    コード、データ、実行の完全性の維持による信頼された内容の保証
3.    データの機密性の維持

B.    検知、対応、復旧:設計への期待

1.    迅速に、サイバーセキュリティイベントを検知する機器の設計
2.    潜在的なサイバーセキュリティインシデントのインパクトに対応し、阻止する機器の設計
 

その他、ガイダンス草案では、「Ⅵ. サイバーセキュリティリスクのある機器表示の推奨事項」の章などが追加されました。

なお、FDAは、同月16日、国土安全保障省(DHS)との間で、医療機器サイバーセキュリティ対策に取組むために、連携関係を強化する新たなフレームワークを導入することで合意覚書を締結したことを発表しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関は、医療保険の携行性と責任に関する法律(HIPAA)の適用対象主体(CE:Covered Entity)として、事業提携者(BA:Business Associate)に該当する医療機器企業のプライバシー/セキュリティ管理を監督する責務があるほか、NISTフレームワークの重要インフラ事業者として、サプライヤーに該当する医療機器企業の情報技術(IT)、制御技術(OT)双方に渡るサイバーサプライチェーン・リスクマネジメントを監督する責務を負っている。今後は、FDAガイダンス改訂に備えて、医療機器の調達・導入から、保守・運用、廃棄に至るまでの製品ライフサイクル全体で、効率的に資産管理、リスク管理を講じる体制を構築・強化しておく必要がある。。

医療機器メーカー

・FDAの医療機器サイバーセキュリティガイダンスが改訂されると、市販前申請手続時のNISTサイバーセキュリティフレームワーク適用が明確化される。医療機器企業は、製品の設計・開発に関わるサプライヤー/パートナー企業に対して、セキュリティ・バイ・デザイン、セキュリティリスク事前評価などの対策強化を求める必要がある。また、医療機関の情報システムとネットワーク接続する医療機器メーカーは、HIPAAの事業提携者(BA)としてプライバシー/セキュリティ規則も適用される。

医療品メーカー

・医薬品と医療機器を組み合わせたコンビネーション製品として、FDAに市販前申請手続を行う場合、医薬品開発側も、NISTサイバーセキュリティフレームワークの内容を理解して、リスク管理における医療機器と医薬品の責任分界点を明確にしておく必要がある。

サプライヤー

・医療機器製品の設計・開発に関わるサプライヤー/パートナー企業は、NISTサイバーセキュリティフレームワークに規定されたサイバーサプライチェーン・リスクマネジメントの適用対象となるので、セキュリティ・バイ・デザイン、セキュリティリスク事前評価など、リスクベースの対策強化を行う必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?