米国FDAが医療機器セキュリティに関するディスカッションペーパーを公表 ブックマークが追加されました
最新動向/市場予測
米国FDAが医療機器セキュリティに関するディスカッションペーパーを公表
【第135号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年6月17日、米国食品医薬品局(FDA)の医療機器・放射線保健センター(CDRH)は、「医療機器のサービス提供に関連するサイバーセキュリティプラクティスの強化:課題と機会」と題するディスカッションペーパーを公表し、パブリックコメントの募集を開始しました(募集期間:2021年8月17日まで)。
第135号 2021.7.6公開
2017年8月17日に制定された食品医薬品局再認証法(FDARA)では、保健福祉省(HHS)およびFDAに対し、医療機器のサービス提供における継続的な品質や安全性、有効性に関する報告書の発行を求めていました。これに対してFDAは、翌2018年5月に公開した「医療機器のサービス提供における品質、安全性、有効性に関するFDA報告書」の中で、医療機器のサービス提供に関連する公衆衛生上の広い懸念があるか否かを結論付けるには、現在利用可能なエビデンスだけでは不十分だとして、以下のようなアクションを掲げていました。
- 品質管理原則の採択を促進する
- サービス提供と再製造の間の違いを明確化する
- 医療機器のサービス提供に関連したサイバーセキュリティプラクティスを強化する
- サービス提供する医療機器の品質や安全性、有効性を評価するためのエビデンス構築を推進する
今回公表したディスカッションペーパーは、このような活動の取り組みの一環として策定されたものになります。
FDAは、サイバーセキュリティについて、インターネットやネットワークおよびその他の機器に接続した医療機器に影響が及ぶ大きな課題であるとした上で、不正アクセスや、修正、誤用、使用の拒否、さらには、保存、アクセス、または医療機器から外部の受信者に転送された情報の不正使用を防止するプロセスだとしています。そして、トータル製品ライフサイクル(TPLC)手法を組み込んだ、申請時および市販後対策に係る医療機器サイバーセキュリティガイドラインなどを通じて、段階的な医療機器サイバーセキュリティ対策に取り組んできたとしています。
特に、サイバーセキュリティは、OEMメーカー、医療施設、医療提供者および独立系サービス組織(ISOs)の間の共有責任であることから、FDAは、医療機器のOEMメーカー、医療施設、医療提供者および独立系サービス組織(ISOs)など、医療機器に係るステークホルダーの間の共有責任が重要であるとしています。
その上で、FDAは、ディスカッションペーパーの優先課題として、以下の4点を挙げています。
- 特権アクセス
- サイバーセキュリティ脆弱性やインシデントの特定
- サイバーセキュリティ脆弱性の防止と低減
- 製品ライフサイクルの課題と機会
さらに、FDAは、ディスカッションペーパーに対するパブリックコメントを募集するに際して、以下のようなトピック・質問に関するインプットを求めるとしています。
- 医療機器のサービス提供に関連するサイバーセキュリティの課題と機会は何か?
- このホワイトペーパーで特定した4つの領域は、医療機器のサービス提供において取組むのに、正しいサイバーセキュリティの優先事項となっているか?
- 医療機器をサービス提供する主体は、どのような方法で、医療機器サイバーセキュリティの強化に寄与できるか?
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国FDAは、医療機器サイバーセキュリティについて、OEMメーカー、医療施設、医療提供者および独立系サービス組織(ISOs)の間の共有責任であると断言している。日本国内で医療機器を使用する医療機関も、ステークホルダーの一員として、共有責任を有する範囲はどこか、どのような形で医療機器サイバーセキュリティの強化に関わるかについて、今後の方向性を確認しておく必要がある。
医療機器メーカー
・米国事業を展開する医療機器のOEMメーカーおよびそのサプライヤーは、上記ディスカッションペーパーの優先課題4項目について、自社のセキュリティポリシーや手順の現状分析を行い、特に、特権ユーザー管理や脆弱性管理に関して、改善すべき点があれば対策を講じておく必要がある。
医療品メーカー
・米国市場において、医療機器と医薬品のコンビネーション製品を開発・提供するメーカーは、医療機器メーカーと同等レベルの共有責任が発生することを念頭に置いて、市販後安全対策など、医薬品事業を前提とした既存のセキュリティポリシーや手順を見直しておく必要がある。
サプライヤー
・医療機器メーカーのグローバル事業展開を支援するテクノロジーサプライヤーは、医療機器規則(MDR)の適用が開始されたEU諸国と同様に、米国においても、国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則および実践」に準拠したサイバーセキュリティ要求事項が導入されるので、日本国内に、その経験・ノウハウを横展開できる仕組みを作るべきである。
関連記事 [外部サイト]
- U.S. Food and Drug Administration(FDA)「Strengthening Cybersecurity Practices Associated with Servicing of Medical Devices: Challenges and Opportunities」(2021年6月17日)
- U.S. Food and Drug Administration(FDA)「FDA Report on the Quality, Safety, and Effectiveness of Servicing of Medical Devices」[PDF, 10.39MB](2018年5月)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
