　前述の「2022会計年度CDRHガイダンス提案」では、Aリストに「機器固有識別子（UDI）：特定機器向けグローバル医療機器固有識別データベース（GUDID）要求事項に関するポリシー」が挙げられている。欧州連合（EU）の場合、本連載第69回で触れた医療機器規則（MDR）（2021年5月26日適用開始）／体外診断用医療機器規則（IVDR）（2022年5月26日適用開始予定）向けのITシステム「EUDAMED」上に、固有識別子／機器登録に関するモジュールが搭載されているが、米国でも、同様の仕組みやルールが整備されており、UDIを活用したサプライチェーン全体のトレーサビリティー管理が求められる。

　本連載第75回で紹介したように、米国医薬品業界では、医薬品サプライチェーン安全保障法（DSCSA）に基づいて、医療用医薬品に商品コード、ロット番号、有効期限、ランダム番号を含む2次元バーコードを表示し、医薬品製造業者から、再包装業者、卸売業者／サードパーティーロジスティクスプロバイダー、医療機関／薬局に至るまでのサプライチェーンの各段階で、トレーサビリティーを電子的に管理する仕組みが整備されつつあり、経済安全保障の観点から、同等レベルの取り組みが医療機器業界にも要求される。

　またFDAは、2021年5月12日に米国大統領行政府が発出した「国家サイバーセキュリティに関する大統領令」（関連情報）に基づく国立標準技術研究所（NIST）のソフトウェアサプライチェーン強化に関するワークショップおよびポジションペーパー募集（関連情報）に対する回答書（関連情報、PDF）を公表している。その回答項目は以下の通りである。

“重要ソフトウェア”を指定する基準
連邦政府調達向けの標準規格とガイドライン
連邦政府の重要ソフトウェア使用に適用されるべきセキュリティ対策の概要を示したガイドライン
ソフトウェアのソースコード検証向けの初期における最小限の要求事項
ソフトウェアのインテグリティチェーン・来歴向けガイドライン

　この中で注目されているのが、ソフトウェア部品表（SBOM）を活用した医療機器ソフトウェア（SaMD／SiMD含む）のサプライチェーンセキュリティ強化策である。SBOMは、本連載第69回で取り上げたIMDRFの「医療機器サイバーセキュリティの原則および実践」（2020年3月18日最終版公表、関連情報、PDF）のグローバル導入・展開上の課題にもなっており、組織や業種・業界、国境の枠を超えた取り組みが求められている。

　加えてFDAは、本連載第76回で取り上げたように、2021年6月17日、「医療機器のサービス提供に関連するサイバーセキュリティプラクティスの強化：課題と機会」と題するディスカッションペーパーを公表している（関連情報）。その中で、医療機器のOEMメーカー、医療施設、医療提供者および独立系サービス組織（ISOs）など、医療機器に関わるステークホルダーの間の共有責任が重要であるとした上で、FDAは以下のような優先課題を掲げている。

特権アクセス
サイバーセキュリティ脆弱性やインシデントの特定
サイバーセキュリティ脆弱性の防止と低減
製品ライフサイクルの課題と機会

　これらの課題への取り組みの一環として、FDAは、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）やNIST傘下の国家サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）、連邦政府機関のサイバーセキュリティR&Dを支援するMITREなどとの連携を強化している。例えば、CISAが医療機器のセキュリティ脆弱性に関する注意喚起を行ったり（関連情報）、NCCoEが、医療機関の視点から、無線輸液ポンプや遠隔患者モニタリング（RPM）サービスなどのセキュリティに関する実証研究を行ったり（関連情報）、MITREが、医療機器の脅威モデリング向けプレイブックを作成したりする（関連情報）など、本連載第65回で触れたクロスエージェンシー的な活動からさまざまなアウトプットが提供されている。

コンビネーション製品イノベーションを推進するFDAの課題は人的資本

前のページへ 1|2|3|4 次のページへ