米国FDAが医療機器市販前サイバーセキュリティガイダンス追加修正案を公表 ブックマークが追加されました
最新動向/市場予測
米国FDAが医療機器市販前サイバーセキュリティガイダンス追加修正案を公表
【第201号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2024年3月13日、米国食品医薬品局(FDA)は、「市販前サイバーセキュリティガイダンスの一部改正: 食品・医薬品・化粧品(FD&C)法第524B条 -業界および食品医薬品局スタッフ向けガイダンス草案」を公開し、パブリックコメントの募集を開始しました(募集期間: 2024年5月13日まで)。
第201号 2024.4.10公開
本草案は、FDAが2023年9月28日に公開した「医療機器のサイバーセキュリティ:品質システムの考慮事項と承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」に対する一部修正を提案したものです。FDAは、「サイバー機器(Cyber Device)」に対する新たな考慮事項に組込むため、この市販前サイバーセキュリティガイダンスに第7章を追加することを提案しています。
第7章は、FD&C法第524B条に基づく責務をサポートするために通常必要だとFDAが考えるようなサイバーセキュリティ情報を明確化するものであり、今回の草案では、以下のような構成になっています。
A. FD&C法第524B条の遵守が要求されるのは誰か
B. FD&C法第524B条の対象となる機器
C. 第524B条を遵守するための文書化の推奨事項
1. 計画と手順(第524B条(b)(1))
2. サイバーセキュリティの合理的な保証を提供するためのプロセスおよび手順の設計、開発、維持(第524B条(b)(2))
3. ソフトウェア部品表(第524B条(b)(3))
D. 修正
1. サイバーセキュリティに影響を及ぼす可能性がある変更
2. サイバーセキュリティに影響を及ぼす可能性がない変更
E. サイバー機器のサイバーセキュリティの合理的な保証
本草案では、FD&C法におけるサイバー機器について、(1)スポンサーにより、機器としてまたは機器内で検証、インストールまたは認可されたソフトウェアを含む、(2)インターネットに接続する能力を有する、(3)スポンサーにより、検証、インストールまたは認可されたあらゆる技術的特性で、サイバーセキュリティ脅威に対して脆弱な可能性があるものを含むような機器 と定義している。
上記の(1)に関連してFDAは、ファームウェアやプログラム可能なロジックを有するようなソフトウェアまたはそれを含む機器が、サイバー機器に該当するという見解を示しています。また(2)に関連して、インターネットに接続する能力を有する機器の機能として、以下のような例を挙げています。
・WiFiまたは無線
・ネットワーク、サーバー、またはクラウドサービスプロバイダーとの接続
・BluetoothまたはBluetooth Low Energy(BLE)
・無線周波数通信
・誘導通信
・インターネットに接続する能力があるハードウェアのコネクタ(例.USB、イーサネット、82シリアルポート)
さらにSBOMについては、「C. 第524B条を遵守するための文書化の推奨事項」の中で、FD&C法の要求事項として、サイバー機器の製造業者に対し、商用、オープンソース、汎用ソフトウェアコンポーネントを含むSBOMを提供するよう明記しています。
なおFDAは、一部改正草案のパブリックコメント募集を経て最終版が発行された際には、その内容を、既存の医療機器市販前サイバーセキュリティガイダンスに追加した文書を発行するとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国FDAが、食品・医薬品・化粧品(FD&C)法に基づく「サイバー機器」の定義を明確化することにより、そのユーザーとなる医療機関のサイバーセキュリティに関する責務もより明確になる。医療機器製造業者が市販前に提供する情報(例.SBOM、変更管理の手順)は、医療機関が市販後安全対策(例.インシデント対応計画)を行う際の基礎資料になるので、新たにサイバー機器を調達する場合、事前にサイバーセキュリティ関連情報を収集・分析しておく必要がある。
医療機器メーカー/医療品メーカー
・米国市場で事業を展開する医療機器メーカーは、米国FDAが定義する「サイバー機器」に係る市販前サイバーセキュリティ要求事項について検討し、今後の市販前申請時に対応できるよう対策を進める必要がある。また、米国市場でコンビネーション製品を提供する医薬品メーカーは、「サイバー機器」の定義やサイバーセキュリティ関連要求事項が、自社の開発製品に及ぼすインパクトを評価しておく必要がある。
サプライヤー
・米国FDAが定義する「サイバー機器」向けにコンポーネントを提供するサプライヤーは、サプライチェーン・セキュリティの観点から、SBOM利用に係るポリシー/手順を明確化し、最終製品メーカーやユーザーとなる医療機関が有効活用できるように対応する必要がある。
関連記事 [外部サイト]
- U.S. Food and Drug Administration (FDA)「Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act - Draft Guidance for Industry and Food and Drug Administration Staff」(2024年3月13日)
- U.S. Food and Drug Administration (FDA)「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions - Guidance for Industry and Food and Drug Administration Staff」(2023年9月28日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事
