　2022年4月8日、FDAは、本連載第10回で取り上げた「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス」（2014年10月公開、関連情報）に代わる「医療機器におけるサイバーセキュリティ: 品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」（関連情報）を公開し、パブリックコメントの募集を開始した（募集期間：2022年7月7日まで、図1参照）。

図1　米国食品医薬品局（FDA）の意見公募手続公示［クリックで拡大］出典：Federal Register「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions; Draft Guidance for Industry and Food and Drug Administration Staff; Availability」（2022年4月8日）

　これに先立ちFDAは、トランプ政権下の2018年10月18日に「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」（関連情報）を公示し、パブリックコメントを募集していた。今回公開された草案は、その際に寄せられた意見や、本連載第14回で触れた「ヘルスケア産業サイバーセキュリティ・タスクフォース」（関連情報）の報告書を踏まえて策定されたものである。

　本草案は、以下のような構成になっている。

I．イントロダクション
II．スコープ
III．背景
IV．一般原則
- A．サイバーセキュリティは機器安全と品質システム規制の一部である
- B．セキュリティのための設計
- C．透明性
- D．承認申請の文書化
V．サイバーセキュリティリスクを管理するためのSPDF（セキュア製品開発フレームワーク）利用
- A．セキュリティリスクマネジメント
  - 1．脅威モデリング
  - 2．サードパーティー製ソフトウェアコンポーネント
  - 3．未解決の異常のセキュリティ評価
  - 4．セキュリティリスクマネジメントの文書
  - 5．TPLセキュリティリスク管理
- B．セキュリティアーキテクチャ
  - 1．セキュリティコントロールの展開
  - 2．セキュリティアーキテクチャの視点
    - （a）グローバルシステムの視点
    - （b）複数患者の危害の視点
    - （c）アップデート可能性とパッチ可能性の視点
    - （d）セキュリティユースケースの視点
- C．サイバーセキュリティ試験
VI．サイバーセキュリティの透明性
- A．サイバーセキュリティリスクのある機器向けラベリングの推奨事項
- B．脆弱性管理計画
附表1．セキュリティコントロールのカテゴリーおよび関連する推奨事項
- A．認証
- B．認可
- C．暗号化
- D．コード、データと実行の完全性
- E．機密性
- F．イベント検知とロギング
- G．強靭性と復旧
- H．ファームウェアとソフトウェアアップデート
附表2．セキュリティアーキテクチャフロー向け申請の文書化
- A．コールフローダイヤグラム
- B．アーキテクチャビュー向け情報の詳細
附表3．治験用機器免除向け申請の文書化
附表4．用語集