さらに図4は、EU医療機器調整グループ・ガイドラインの中で、セキュリティリスクとセーフティリスクの関係を示したものである。
そして、図5は、医療機器向けセーフティ/セキュリティリスクマネジメントの情報フローを示したものである。
同一の製品ライフサイクルの中で、セーフティとセキュリティの品質を担保しながら、市販前対策と市販後対策をシームレスに回す仕組みを構築・運用し、外部ステークホルダーとの円滑なコミュニケーションを図る必要がある。そのためには、従来の人手と紙に依存した医療機器開発プロセスを効率化、デジタル化することが必須となってくる。
セキュリティとセーフティの調和、一元的な製品ライフサイクルといった考え方は、IMDRF サイバーセキュリティ原則の中でも多く取り上げられており、国際協調の柱となっている。ここで注目すべきは、EU医療機器調整グループの医療機器サイバーセキュリティ・ガイダンスに、当時草案段階だったIMDRF サイバーセキュリティ原則の内容が網羅されている点だ。
日本国内では、2020年5月13日に厚生労働省が発出した「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」(関連情報、PDF)の中で、「国際的な規制調和の推進の観点や国境の枠組みを超えて医療機器のサイバーセキュリティに係る安全性を向上させる観点から、我が国においても、今後3年程度を目途に、医療機器製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っているところです」と方針を表明していた。
それがEUでは、国際的な規制調和をベースとする医療機器サイバーセキュリティガイドラインが、医療機器規則(MDR)の一部となって、2021年5月にも適用開始されようとしている。
本連載第67回で触れたように、米国食品医薬品局(FDA)は、2021会計年度内に、「医療機器のサイバーセキュリティ管理に関わる承認申請手続きの内容」や、「機器識別:特定のクラスI機器向けグローバル医療機器固有識別データベース(GUDID)提出要求事項に関するポリシー」に関するガイダンス文書草案を策定すると表明している。これが、EU医療機器規則の適用開始をにらんだものであることは自明だろう。
そこに、本連載第64回で取り上げた米国HIPAA規則改正が重なってくると、同時並行で、個人情報保護/プライバシー管理のグローバル法規制対応も始めざるを得なくなる。限られたリソースの中で、どのように優先順位を付けて現場を回していくべきなのか、グローバル展開を進める日本の医療機器業界にとっても正念場といえるだろう。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.