連載
» 2022年04月15日 10時00分 公開

ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策海外医療技術トレンド(82)(1/3 ページ)

本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。

[笹原英司,MONOist]

 本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。

⇒連載「海外医療技術トレンド」バックナンバー

米国FDAが市販前サイバーセキュリティ指針改定案を公開

 2022年4月8日、FDAは、本連載第10回で取り上げた「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス」(2014年10月公開、関連情報)に代わる「医療機器におけるサイバーセキュリティ: 品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」(関連情報)を公開し、パブリックコメントの募集を開始した(募集期間:2022年7月7日まで、図1参照)。

図1 図1 米国食品医薬品局(FDA)の意見公募手続公示[クリックで拡大] 出典:Federal Register「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions; Draft Guidance for Industry and Food and Drug Administration Staff; Availability」(2022年4月8日)

 これに先立ちFDAは、トランプ政権下の2018年10月18日に「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」(関連情報)を公示し、パブリックコメントを募集していた。今回公開された草案は、その際に寄せられた意見や、本連載第14回で触れた「ヘルスケア産業サイバーセキュリティ・タスクフォース」(関連情報)の報告書を踏まえて策定されたものである。

 本草案は、以下のような構成になっている。

  • I.イントロダクション
  • II.スコープ
  • III.背景
  • IV. 一般原則
    • A.サイバーセキュリティは機器安全と品質システム規制の一部である
    • B.セキュリティのための設計
    • C.透明性
    • D.承認申請の文書化
  • V.サイバーセキュリティリスクを管理するためのSPDF(セキュア製品開発フレームワーク)利用
    • A.セキュリティリスクマネジメント
      • 1.脅威モデリング
      • 2.サードパーティー製ソフトウェアコンポーネント
      • 3.未解決の異常のセキュリティ評価
      • 4.セキュリティリスクマネジメントの文書
      • 5.TPLセキュリティリスク管理
    • B.セキュリティアーキテクチャ
      • 1.セキュリティコントロールの展開
      • 2.セキュリティアーキテクチャの視点
        • (a)グローバルシステムの視点
        • (b)複数患者の危害の視点
        • (c)アップデート可能性とパッチ可能性の視点
        • (d)セキュリティユースケースの視点
    • C.サイバーセキュリティ試験
  • VI.サイバーセキュリティの透明性
    • A.サイバーセキュリティリスクのある機器向けラベリングの推奨事項
    • B.脆弱性管理計画
  • 附表1.セキュリティコントロールのカテゴリーおよび関連する推奨事項
    • A.認証
    • B.認可
    • C.暗号化
    • D.コード、データと実行の完全性
    • E.機密性
    • F.イベント検知とロギング
    • G.強靭性と復旧
    • H.ファームウェアとソフトウェアアップデート
  • 附表2.セキュリティアーキテクチャフロー向け申請の文書化
    • A.コールフローダイヤグラム
    • B.アーキテクチャビュー向け情報の詳細
  • 附表3.治験用機器免除向け申請の文書化
  • 附表4.用語集
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.