注目記事

医療機器とサイバーセキュリティが交渉の余地のない理由

規制当局は長年、医療機器企業が製品のサイバーセキュリティを効果的に管理することを期待してきました。

公開日:
2024年9月12日

この記事はもともと New Electronics に掲載されたものです。

この取り組みを支援するために、食品医薬品局 (FDA) は 2005 年に、既製 (OTS) ソフトウェアを備えたネットワーク化された医療機器に焦点を当てた、医療機器のサイバーセキュリティに関する最初のガイダンスを発行しました。

それでも、長年にわたって、FDA の市販前ガイダンスは大幅に進化し、2014 年の 9 ページの文書から 2023 年には 57 ページの包括的なガイダンスに拡張されました。この進化だけでも、医療機器業界におけるサイバーセキュリティの重要性が高まっていることがわかります。

しかし、2023 年の統合歳出法により、医療機器のサイバーセキュリティに関する FDA の伝統的に非公式な推奨事項が、正式な法律に基づく要件に変わりました。 FDA の医療機器のサイバーセキュリティに関する 2023 年最新ガイダンス: 品質システムの考慮事項と市販前申請の内容と組み合わせることで、この開発は医療機器のサイバーセキュリティの基準が高まったことを意味します。これらの変化は、医療機器のサイバーセキュリティに関する規制環境における大きな進歩を意味します。

医療機器の「サイバー安全性」を確保する

世界中の取り組みが示すように、こうした期待は US に限ったものではありません。たとえば、EU のネットワークおよび情報システムのセキュリティに関する 2022/2555 指令 (NIS2) では、化学物質 (API)、医薬品、医療機器を含む医療製品のメーカーに対し、包括的なサイバーセキュリティ リスク管理対策を実施し、報告要件を遵守することが求められています。

その後、オーストラリアでは、Therapeutic Goods Administration (TGA) が、サイバーセキュリティに対するトータル製品ライフサイクル (TPLC) アプローチを義務付ける 2022 年医療機器サイバーセキュリティ ガイダンスを発行しました。このアプローチでは、メーカーはリスク管理評価プロセスに侵入テスト、脅威モデリング、その他の事前対策を組み込む必要があります。

シンガポールでは、医療機器サイバーセキュリティ ラベリング スキーム (CLS-MD) により、サイバーセキュリティ規定に基づいた医療機器の評価システムが導入されています。このスキームでは、医療機器はサイバーセキュリティの堅牢性に応じて評価およびラベル付けされ、一般の人々や医療提供者に貴重な情報を提供します。このラベル システムにより、情報に基づいた購入決定が可能になり、関係者は高いサイバーセキュリティ基準を満たす医療機器を特定して選択できるようになります。

これらの世界的な取り組みは、医療機器業界における堅牢なサイバーセキュリティ対策の重要性に関する国際的なコンセンサスが高まりつつあることを反映しています。

相互接続の利点には弱点がないわけではありません

医療機器にソフトウェアが含まれている場合、特に他の機器やネットワークに電子的に接続できる場合、サイバーセキュリティの優先順位が非常に重要になります。現代の医療環境における医療機器の相互接続は、ソフトウェア対応のスマート医療機器とモノのインターネット (IoT) への移行によって促進され、便利でタイムリーなケアという利点をもたらしていることは間違いありません。

たとえば、心臓インプラントを埋め込まれた患者を遠隔監視できるため、頻繁に医師の診察を受ける必要がなくなります。同様に、血糖値を管理するための新しいツールにより、血糖値計とインスリン ポンプがシームレスに連携できるようになります。病院はまた、データをシームレスに共有することでケアと効率を向上させるために、より相互接続されたデバイスを導入しています。しかし同時に、医療システムに脆弱なリンクがある場合、医療機器はサイバー攻撃やセキュリティ侵害に対してより脆弱になります。

リスクの高まりは、脆弱なデバイスを悪用したり、患者記録にアクセスしたり、業務を妨害したり、身代金を要求したり、ネットワークに侵入したりするために、医療機関を標的とする悪意のある攻撃者によって引き起こされます。たとえば、インスリン ポンプ、心臓ペースメーカー、ウェアラブルなどのデバイスは、患者データをリアルタイムで追跡し、患者や医師に情報を即時に送信するため、脆弱性が高まることに直面しています。そのため、これらの重要なデバイスを保護し、患者の安全を確保するには、堅牢なサイバーセキュリティ対策が不可欠です。

開発者にとっての実際的な影響

FDA のサイバーセキュリティ ガイダンスと規制範囲には、データ ストレージ、転送、分析などの幅広いデバイス ソフトウェア機能が含まれます。アップグレード可能なソフトウェア、USB ポート、さらにはコンパクト ディスク テクノロジーを備えた医療機器または診断機器は、接続された機器として分類され、新しい規制の対象となります。

FDA と UK の NCSC セキュア設計原則はどちらも、メーカーがより広範なエコシステムとデバイスの相互接続性を考慮する重要性を強調しています。

セキュリティ目標は、個別に運用するのではなく、医療機器のシステム アーキテクチャ全体にわたって統合される必要があります。

医療機器メーカー (MDM) は、リリースのかなり前にデバイスの脅威モデリングを実行して、セキュリティの脅威と脆弱性を迅速に特定し、評価し、優先順位を付けて、市場にリリースされる前にデバイスの安全性を確保する必要があります。主要な懸案事項の優先リストを作成すると、チームは提出前に重要な問題に効果的に取り組み、解決できるようになります。さらに、チームが今後の反復で体系的に対処できるセキュリティ上の考慮事項の文書化されたログが確立されます。

後から個別の修正が必要になるのを避けるために、システム的な問題に対処することも重要です。これには、標準操作手順の改訂、品質管理システムの調整、開発ライフサイクル全体にわたる包括的なセキュリティ戦略の開発が含まれ、サイバーセキュリティ標準と規制要件の両方を満たします。

最終的に、FDA が設定したサイバーセキュリティ対策の明確な基準を満たさないと、患者の安全が危険にさらされ、データの完全性が損なわれるだけでなく、市場参入が遅れ、経済的損失や評判の低下につながる可能性があります。同様に、EU では、メーカーがサイバー レジリエンス法を遵守しなかった場合、単一市場から製品が削除されたり、一般データ保護規則 (GDPR) で規定されているものと同等の多額の罰金が科せられる可能性があります。

リスクを軽減するために、FDA は、ソフトウェア セキュリティとサプライ チェーン管理の基本要素として「ソフトウェア部品表」(SBOM) プログラムを導入することを推奨しています。 SBOM は、デバイス内のすべてのソフトウェア コンポーネントの包括的なリストを提供し、脆弱性の効果的な追跡と管理を可能にします。

メーカーが規制環境を効果的に乗り越え、医療機器のセキュリティと完全性を確保するには、対象市場におけるサイバーセキュリティの要件と期待を理解し、それに合わせることが不可欠です。

予防は治療よりも優れている

サイバーセキュリティは後回しにするべきではなく、医療機器開発の基盤に組み込む必要があることに注意することが重要です。

サイバーセキュリティは、予算割り当て、リソース割り当て、トレーニングなどを含むビジネスのあらゆる側面にわたって優先事項である必要があります。それは単に規制を遵守し、罰則を回避することだけではありません。それは、エンドユーザーが生活に密接に統合されているデバイスを信頼できる場合にのみ、高度な相互接続デバイスの真の利点が発揮されることを認識することです。これらのデバイスの背後にあるソフトウェアは、サイバーセキュリティを念頭に置いて構築されていない場合、サイバー脅威に対して脆弱になる可能性があり、その結果、デバイスに依存している患者も同じリスクにさらされることになります。それは目的に反します。

セキュリティ戦略を設計する際には、将来的に修正が行われないようにするために、システム的な問題にも対処する必要があります。このようなプロセスを適切に重視することで、開発者は潜在的なリスクを予測し、十分な前もって是正措置を講じることができ、最終的には潜在的な風評被害、経済的損失、市場の遅延、患者の安全性の問題といった問題を回避できます。

ニュースレターを購読
最新情報を毎月メールでお届けします。
購読により、利用規約に同意したものとみなされます。
ありがとうございます。送信を受け付けました。
送信中にエラーが発生しました。
Get your instant estimate
AI-powered dossier compilation and local representation, all for a flat annual fee.
見積もりを見る
さらに読む

どこにいても、
ご相談ください。

詳しい情報が必要な段階でも、協業を始める段階でも、規制対応の各ステップをサポートします。

お問い合わせ