医療開発サイバーセキュリティの新基準
医療機器のサイバーセキュリティ基準を高めるには、メーカーが新しい世界的な規制を遵守する必要があります。
進化する医療機器サイバーセキュリティ規制の状況
医療機器会社による自社製品のサイバーセキュリティ管理は、長年にわたって規制当局から大きな期待を受けてきました。
US でこれを支援するために、FDA は 2005 年に医療機器のサイバーセキュリティに関する最初のガイダンスとして 既製 (OTS) ソフトウェアを含むネットワーク医療機器のサイバーセキュリティ を発行しました。
これに続いて、2014 年には 医療機器におけるサイバーセキュリティ管理のための市場投入前の提出内容 に関するガイダンスと、医療機器のサイバーセキュリティの市販後管理 に関するガイダンスが発行されました。これらの文書の推奨事項は有用ではありますが、不十分であり、あまり厳密ではないと判断されています。
しかし、2023 US 政府統合歳出法 の成立と、医療機器のサイバーセキュリティ: 品質システムの考慮事項と市販前申請の内容 に関する FDA の 2023 年最新ガイダンスの発行以来、サイバーセキュリティのハードルが引き上げられました。 2023 年の市場前ガイダンスは、2018 年と 2022 年に草案形式で更新されていた 2014 年の市場前ガイダンスに代わるものです。
長年にわたり、FDA の市販前ガイダンスは、やや限定された 9 ページの 2014 年の文書から、現在では包括的な 57 ページの 2023 年のガイダンスへと大幅に進化しました。
2023 年の統合歳出法は、医療機器のサイバーセキュリティに関する FDA のガイダンスにおいて、これまであまり正式ではなかった「推奨」アプローチを、同法の可決により法令に基づく要件または法律に移行しました。
たとえば、法律により、連結歳出法第 3305 条では、申請または提出 (例: 510(k) 市販前提出) のスポンサー (例: 医療機器会社) が次のことを義務付けています。
- 調整された脆弱性開示と関連手順を含む、市販後のサイバーセキュリティの脆弱性とエクスプロイトを監視、特定、および対処するための計画を提出します。
- プロセスと手順を設計、開発、維持して、デバイスと関連システムがサイバーセキュリティで保護されていることを合理的に保証し、以下に対処するためにデバイスと関連システムに市販後のアップデートとパッチを提供します。
- 合理的に正当化された定期的なサイクルで、既知の許容できない脆弱性
- そして、制御不能なリスクを引き起こす可能性のある重大な脆弱性をできるだけ早くサイクルから外します。
- 商用、オープンソース、既製のソフトウェア コンポーネントを含むソフトウェア部品表を長官に提出します。そして
- デバイスおよび関連システムがサイバーセキュリティで保護されていることを合理的に保証するために長官が規制を通じて要求する場合があるその他の要件を遵守します。
医療機器のサイバーセキュリティ強化に向けた世界的な移行
統合歳出法で特に注目に値するのは、市場投入後のサイバーセキュリティ計画とソフトウェア部品表の要件ですが、これまで US の規制当局への提出では重視されていませんでした。これらには、医療機器開発の初期段階から多大な努力が必要です。また、2023 年の市販前ガイダンスからは、市販前提出物には侵入テストと脅威モデリング演習の結果を含める必要がありますが、これにも多大な労力とコストがかかります。
サイバーセキュリティに対する期待の高まりは、US だけに限定されるものではありません。 ネットワークおよび情報システムのセキュリティに関する EU の 2022/2555 指令 (「NIS2」) は現在、化学物質(API)、医薬品、医療機器を含む医療製品のメーカーに対し、サイバーセキュリティのリスク管理措置と報告要件を義務付けています。
US と同様、オーストラリアの 医薬品局による業界向けの 2022 年医療機器サイバー セキュリティ ガイダンス は、サイバーセキュリティの管理にトータル製品ライフサイクル (TPLC) アプローチを求めています。また、デバイスのリスク管理/評価プロセスの一環として、侵入テストと脅威モデリングも求められます。
そしてシンガポールは 2022 年に、医療機器のサイバーセキュリティラベル付けスキーム - CLS-MD を導入する計画を発表しました。ラベル付けスキームは現在、「サンドボックス」または試用期間中です。この制度は、4 つのレベルのサイバーセキュリティ規定および評価に従って医療機器が評価されることに基づいています。
医療機器のサイバーセキュリティ ラベルは、医療機器のセキュリティ レベルを示すものとなります。現在は任意ですが、この新しい制度は、医療機器のサイバーセキュリティに対するシンガポール政府の深刻な懸念を示しています。
上記の例に加えて、世界中で医療機器を「サイバー安全」に保つ必要性への意識が高まっており、これには 国際医療機器規制当局フォーラム による世界的な取り組みも含まれます。同フォーラムは、医療機器のサイバーセキュリティの原則と実践、レガシー医療機器のサイバーセキュリティの原則と実践、そして 医療機器サイバーセキュリティのためのソフトウェア部品表の原則と実践 という優れた技術文書を作成しています。
ソフトウェアを備えた医療機器を開発中またはすでに所有している場合、特に機器が他の機器やネットワークに電子的に接続できる場合は、サイバーセキュリティを真剣に受け止め、販売先または販売先の地域に関係なく、サイバーセキュリティの要件と期待を十分に理解する必要があります。グローバルなサイバーセキュリティ コンプライアンスへの対応に関するサポートが必要な場合は、お気軽に Pure Global までご連絡ください。
どこにいても、
ご相談ください。
詳しい情報が必要な段階でも、協業を始める段階でも、規制対応の各ステップをサポートします。
お問い合わせ

