米国FDA、サイバーセキュリティ管理内容に関するガイダンス草案を発表
FDAは2018年10月に医療機器市販前届出のサイバーセキュリティ管理内容に関するガイダンス草案を発表しました。これは2014年発行のガイダンスから4年ぶりの改訂となります。
本草案は、ソフトウェア(ファームウェアを含む)やプログラム可能なロジックが含まれる医療機器、およびソフトウェア医療機器に対する以下の市販前申請に適用されます。
- ● 市販前認可となるTraditional、Special、Abbreviatedなどの510(k)申請
- ● De Novo 申請
- ● 市販前承認(PMA:Premarket Approval Applications)
- ● 製品開発プロトコル(PDP:Product Development Protocols)
- ● 人道支援機器免除(HDE:Humanitarian Device Exemption)
本草案での推奨事項は、製造業者に対して以下のような支援を行うことが目的です。
- 1. サイバーセキュリティ対策を備えている医療機器の設計と開発を、リスクに基づいた手法で行う。
- 2. 商品ライフサイクルのリスクレベルとリスク軽減を分析することにより、医療機器のサイバーセキュリティに総合的な取組を実施する。
- 3. 機器の安全性と本質的性能の継続的な維持。
- 4. 機器の有効性と安全性を維持するために、より信頼できる機器の開発を促進させる。
また、本草案では、医療機器の設計、開発におけるサイバーセキュリティへの取り組みに関して以下が推奨されています。
- ● 機器資産、脅威、および脆弱性の特定。
- ● 機器の機能およびエンドユーザーや患者に対する脅威の影響と脆弱性の評価。
- ● 脅威の可能性および脆弱性が悪用される可能性の評価 。
- ● リスクレベルの判定とリスク軽減対策。
- ● 残留リスクおよびリスク判定基準の評価。
サイバーセキュリティのリスクレベルに応じて機器が区分されており、大きく分けて下記2つの区分があります。
Tier 1 “高度のサイバーセキュリティリスク”(以下の要件が満たされている場合)
- ● 他の医療製品または非医療製品、ネットワークまたはインターネット(有線および無線)に接続出来る。
- ● 機器に影響を及ぼすサイバーセキュリティインシデントにより、複数の患者に直接危害を及ぼす可能性がある。
Tier 2 ”標準サイバーセキュリティリスク”
- ● Tier 1機器の要件が満たされていない医療機器。
医療機器のサイバーセキュリティは年々関心が高まっており、今後もマーケット拡大に伴い規約の改正を比較的多く行うことになるでしょう。グロービッツは米国医療機器を得意分野としておりますので、医療機器規制対応にも日本語にてご支援させていただきます。
• 米国食品医薬品局、サイバーセキュリティ草案 ダウンロード
