最新動向/市場予測

豪州TGAが医療機器サイバーセキュリティ指針を公表

【第88号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年7月18日、オーストラリア連邦政府保健省傘下の薬品・医薬品行政局(TGA)は、医療機器および体外診断用(IVD)医療機器を対象とする「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」および「ユーザー向け医療機器サイバーセキュリティ情報第1版」を公表しました。

第88号 2019.7.29公開

これに先立ちTGAは、2018年12月20日、ガイダンス草案を公表し、パブリックコメントを募集していました。

このうち「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」は、以下のような事業者を対象としています。

  • スタンドアロンの医療機器向けまたはソフトウェア・アズ・ア・メディカルデバイス(SaMD)として使用されるソフトウェアを開発する製造業者(設計時に人工知能を組み込む機器を含む)
  • サイバーベースの脅威に対して脆弱な可能性のあるコンポーネントを含む医療機器(体外診断用医療機器を含む)の製造業者
  • オーストラリアにおける医療機器の供給に責任のある医療機器のスポンサーで、安全および品質が証明され、基本原則の遵守が維持されていることを保証する者


業界向けガイダンスでは、「リスク管理手順」から「変更管理手順」、「設計手順」、「苦情管理手順」に至るまでの「トータルプロダクトライフサイクルTPLC)」の考え方を提示した上で、TGAが定めた医療機器基本原則(EP)のうち以下の10項目について、サイバーセキュリティの考慮事項を掲げています。

EP1. 健康や安全を損なわない医療機器の使用

EP2. 安全原則に適合する医療機器の設計および構築

EP3. 意図した目的に適合する医療機器

EP4. 長期的な安全

EP5. 輸送や保存による副次的な影響を受けない医療機器

EP6. あらゆる望ましくない結果を上回る医療機器の利点

EP9. 建設および環境資産

EP10.測定機能付医療機器

EP12.エネルギー源と接続または装備した医療機器

EP13.医療機器とともに提供される情報


その上で、市販前および市販後のセキュリティ対策について、以下のようなトピックを掲げています。

  • 市販前ガイダンス
    - 市販前規制の要求事項
    ‐ 技術的なサイバーセキュリティ考慮事項
  • 市販後ガイダンス
    - 規制の要求事項
    - サイバーセキュリティのリスク
    - サイバーセキュリティの脅威とリスク対応
    ‐ サイバーセキュリティのインテリジェンスと脅威の共有

他方、「ユーザー向け医療機器サイバーセキュリティ情報第1版」では、患者・消費者、保健・医療専門家、小規模事業者、大規模サービス供給者を対象として、以下のようなトピックを掲げています。

  • 潜在的なサイバーセキュリティ課題の報告
  • 異なるユーザー向けのガイダンス
  • 患者・消費者向けガイダンス
    - プライバシー
    - パスフレーズ
    - 疑いのあるメッセージング
    - オンライン保健・医療の詳細
    - タブレットとモバイル
    - バックアップと更新
    - 家庭におけるスマートデバイスの使用
  • 保健・医療専門家向けガイダンス
  • 小規模事業者向けガイダンス
  • 大規模サービス供給者向けガイダンス
  • サイバーセキュリティ・インテリジェンスと脅威の共有

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機器サイバーセキュリティ対策ガイドラインについて、オーストラリアでは、製造・販売事業者を対象とする「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」と、医療機関のユーザーを対象とする「ユーザー向け医療機器サイバーセキュリティ情報第1版」を、同じ部局(TGA)が策定している。他の国・地域と比較して、製造・販売事業者と医療機関の間に存在するサイバーリスクに対する認識のギャップを埋めやすい環境にあるので、日本の医療機関にとっても参考になる点が多い。
 

医療品メーカー/医療機器メーカー

・医療機器サイバーセキュリティ対策ガイドラインについて、オーストラリアでは、市販前申請時対策を対象とするものと市販後安全対策を対象とするものが、同一文書内に規定されている。医薬品・医療機器業界の場合、市販前対策を所管する部署と市販後対策を所管する部署が縦割サイロになっているケースが一般的なので、今後は、トータルプロダクトライフサイクルTPLC)の視点に立ったリスク管理体制の構築が必要となる。
 

サプライヤー

・同じサプライヤーでも、医薬品・医療機器メーカー向けと、医療機関向けでは、サイバーリスクに対する認識がまちまちなケースが多い。統合的なサイバーサプライチェーン・リスクマネジメントの観点から、サプライヤーは、「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」、「ユーザー向け医療機器サイバーセキュリティ情報第1版」双方の要求事項のレベルを理解した上で、緊急時対応や情報分析・共有活動に取組む必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?