最新動向/市場予測

仏規制当局が医療機器サイバーセキュリティ指針草案を公表

【第89号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年7月19日、フランス医薬品・保健製品安全庁(ANSM)は、「ライフサイクルの間ソフトウェアを統合する医療機器のサイバーセキュリティ」草案を公表し、パブリックコメントの募集を開始しました(受付期間:2019年9月30日まで)。これが、EU加盟国の規制当局が公表した最初のサイバーセキュリティガイドライン草案となります。

第89号 2019.8.21公開

本草案では、サイバーセキュリティについて、医療機器の完全性と可用性、保持する情報の機密性および/または対象となる攻撃のリスクに対する医療機器のアウトプットを保証するために設定された一連の技術的または組織的手段と記しています。

また、ANSMは、フランス政府が定めた一般セキュリティフレームワークに関連して、可用性、完全性、機密性の基準は、セキュリティに関して充足すべきベースラインの目標であり、フランス国家情報システムセキュリティ庁(ANSSI)が提供する様々な文書やツールを医療機器に適用することができるとしています。

その上で、医療機器製造業者に対し、ITおよび医療機器双方のリスクマネジメント手法を利用してリスク評価を実施し、製造業者の品質管理システムの展開の一部として、これらの手法を合わせることを求めています。具体的には、以下のような項目について、推奨事項を提示しています。

  • ソフトウェアの設計活動
  • 医療機器ソフトウェアの開発活動
  • 初期化‐最初の使用
  • モニタリング‐市販後管理
  • 医療機器ソフトウェアの廃棄

なお、フランスを含む欧州連合(EU)では、現行のEU域内におけるミニマムスタンダードを規定した医療機器指令(MDD)および体外診断用医療機器指令(IVDMD)に代わって、2020年5月26日、域内統一ルールである医療機器規則(MDR)および対外診断用医療機器規則(IVDR)が施行される予定です。また、医療機器が使用される医療施設を含む重要インフラストラクチャについては、EU域内のミニマムスタンダードである「ネットワーク・情報システムのセキュリティに関する指令(NIS指令)」およびそれに基づく各国法令が適用されます。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・従来、EU域内の国単位に制定されていた医療機器規制が、医薬品やGDPRと同様に、域内統一ルールに変わる一方、医療施設を含む重要インフラのサイバーセキュリティ規制に関しては、ミニマムスタンダードのNIS指令および各国法令が適用される形になる。医療機器を使用する医療機関は、セーフティとセキュリティの関係によって、所管当局や適用法令が異なるケースが出てくる点に注意する必要がある。
 

医療品メーカー/医療機器メーカー

・フランス規制当局は、Software as a Medical Device(SaMD)や、医薬品・医療機器のコンビネーションも適用対象に含めているほか、製品ライフサイクルの観点から、市販前申請時対策と市販後安全対策を捉えた包括的なサイバーセキュリティガイドライン草案を策定している。EU域内の医療機器規制統一化の流れの中で、他の加盟国の規制当局がどのようなガイドライン草案を策定するかについて注視する必要がある。
 

サプライヤー

・単体の医療ソフトウェアおよび医療機器に組み込まれるソフトウェア向けのサプライヤーは、市販前申請時対策と市販後安全対策の双方を効率的にカバーする製品ライフサイクル管理体制を再構築しながら、サイバーサプライチェーン・リスクマネジメントに備える必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?