医療機器サイバーセキュリティに関しては、現行のEU医療機器指令(MDD)に基づき欧州委員会傘下に設置された医療機器調整グループ(MDCG)が、コミュニケーションネットワーク・コンテンツ・技術総局(DG-CONNECT)などと連携しながら、国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則および実践」(2020年3月18日最終版公表、関連情報、PDF)とのハーモナイゼーション、「EUサイバーセキュリティ法(2019年6月27日施行)に基づき制定された欧州サイバーセキュリティ認証フレームワークの取り扱いなどについて、検討と準備作業を行ってきた。
EU医療機器調整グループは、IMDRFのサイバーセキュリティ原則最終版が公表される直前の2020年1月7日、「MDCG 2019-16 - 医療機器向けサイバーセキュリティ・ガイダンス」を公表している(関連情報)。
図2は、医療機器規則(MDR) Annex Iに含まれるサイバーセキュリティ要求事項を示したものである。
前述の医療機器規則適用開始後は、EU医療機器調整グループのガイドラインが、MDR Annex Iに組み込まれ、MDRに準拠したEU域内統一の医療機器サーバセキュリティガイドラインとしての役割を担うことになっている。同様に、体外診断用医療機器規則適用開始後は、同規則にも、EU医療機器調整グループのガイドラインが組み込まれることになっている。
次に図3は、MDR Annex Iに含まれるサイバーセキュリティ要求事項と、EUサイバーセキュリティ法、一般データ保護規則(GDPR)、ネットワーク・情報システムのセキュリティに関する指令(NIS指令)など、他の主要EU規制との関係を示したものである。
EUでは、さまざまなサイバーセキュリティ/個人情報保護法制が複雑に絡んでいるが、今回、MDR Annex Iに含まれるサイバーセキュリティ要求事項には、このあたりの状況が考慮されていることが分かる。欧州市場で医療機器事業を展開する企業が、EUサイバーセキュリティ法、GDPR、NIS指令など、各法令やガイドライン類に個別対応していたのではビジネスが回らなくなるので注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.