5.0 医療機器サイバーセキュリティの市販前考慮事項
5.1 セキュリティ要求事項及びアーキテクチャ設計
5.2 TPLC に関するリスクマネジメント原則
5.3 セキュリティ試験
5.4 TPLC サイバーセキュリティマネジメント計画
5.5 ラベリング及び顧客向けセキュリティ文書
- 5.5.1 ラベリング
- 5.5.2 顧客向けセキュリティ文書
5.6 規制当局への申請に関する文書
- 5.6.1 設計文書
- 5.6.2 リスクマネジメント文書
- 5.6.3 セキュリティ試験の文書
- 5.6.4 TPLC サイバーセキュリティマネジメント計画に関する文書
- 5.6.5 ラベリング及び顧客向けセキュリティ文書

　これと今回FDAが公開した草案を比較すると、国際調和の観点からIMDRFの市販前対策としてのサイバーセキュリティ要求事項や推奨事項をおおむね網羅していることが分かる。

　他方、本連載第69回で取り上げたEU医療機器調整グループの「MDCG 2019-16 - 医療機器向けサイバーセキュリティ・ガイダンス」（2020年1月7日公開、関連情報）をみると、市販前サイバーセキュリティ対策に関わる項目として、以下のようなものを挙げている。

3．セキュアな設計と製造
- 3.1 セキュア・バイ・デザイン
- 3.2 セキュリティリスクマネジメント
- 3.3 セキュリティケーパビリティ
- 3.4 セキュリティリスク評価
- 3.5 セキュリティ便益分析
- 3.6 最低限のIT要求事項
- 3.7 検証／妥当性確認
- 3.8 ライフサイクル側面

　EU医療機器調整グループのガイダンスでは、医療機器におけるセキュリティリスクとセーフティリスクの関係やリスクマネジメントの情報フローが明示されている。医療機器企業に対しては、同一の製品ライフサイクル上で、セーフティとセキュリティの品質を担保しながら、市販前対策と市販後対策をシームレスに回す仕組みを構築・運用し、外部ステークホルダーとの円滑なコミュニケーションを図ることが求められる。

　同様にFDAも、一般原則の中で「サイバーセキュリティは機器安全と品質システム規制（QSR）の一部である」と明言するなど、医療機器サイバーセキュリティにおけるセキュリティとセーフティや品質管理との関係性強化を前面に打ち出している点が注目される。法令上、サイバーセキュリティは、連邦規則第21条のPart 820（21 CFR Part 820）」（関連情報）に基づくQSRの一部として位置付けられている。

　さらにFDAは、本連載第65回で触れたように、2019年9月17日に「技術モダナイゼーション行動計画（TMAP）」（関連情報）を公表し、2021年3月3日に「データモダナイゼーション行動計画（DMAP）」（関連情報）を公表した上で、2022年3月30日には、FDA傘下に新設されたデジタルトランスフォーメーション室（ODT）が「モダナイゼーション・イン・アクション2022」（関連情報）を公表している。

　参考までに、図2は、FDAデジタルトランスフォーメーション室が2022年報告書の中で提示したFDAのモダナイゼーションフレームワークである。

図2　米国食品医薬品局（FDA）のモダナイゼーションフレームワーク出典：U.S. Food and Drug Administration (FDA)「Modernization in Action 2022」（2022年3月30日）

　サイバーセキュリティは、クラウドコンピューティングやデータインタフェースとともに、TMAPの「技術インフラストラクチャ」における重要領域となっている。医療機器企業は、TMAPにおける「ステークホルダーコラボレーション」の一員と認識されている。

　従って、米国市場で事業を展開する医療機器企業も、デジタル環境におけるセキュリティとセーフティの融合を前提とした品質保証・薬事組織の再編や内外向けリスクコミュニケーション管理体制の再構築などに着手する必要がある。FDAや保健福祉省（HHS）を含む米国連邦政府全体レベルで、「クロスエージェンシー」を柱とする行政のDX（デジタルトランスフォーメーション）施策が展開されており、当局への対応活動を担う医療機器企業側も、紙と手作業に依存する業務プロセスやサイロ縦割組織の弊害を排した部門横断的な取組を実践する必要に迫られている。

規制当局による医療機器審査業務の支援も担うSBOM

前のページへ 1|2|3 次のページへ