　次に、FDAのガイダンス草案で注目されるのが、ソフトウェア部品表（SBOM）の役割である。FDAは、同草案の「V．サイバーセキュリティリスクを管理するための SPDF（セキュア製品開発フレームワーク）利用」の「A．セキュリティリスクマネジメント」において、「2．サードパーティー製ソフトウェアコンポーネント」のサプライチェーンリスクマネジメント支援ツールとして、SBOMを取り上げている。

　FDAによると、堅牢なSBOMには、機器製造業者が開発したコンポーネントやサードパーティー製コンポーネント（市販／ライセンス供与ソフトウェアおよびオープンソースソフトウェア）に関する情報に加えて、プロプライエタリ／市販／ライセンス供与／オープンソースソフトウェアの要件となる上流ソフトウェアの依存性が含まれるという。SBOMは、ソフトウェア開発期間中および市場に配置された後の製品ライフサイクルの他の全てのフェーズを通して、ソフトウェアコンポーネント内の脆弱性によって影響を受ける可能性がある機器を特定するメカニズムを提供することによって、リスクマネジメントプロセスを促進させるのに役立つとしている。

　脆弱性管理は機器のセキュリティリスク管理プロセスの重要な一部であり、SBOMまたは同等の機能が機器の構成管理の一部として維持されるべきであるとしている。市販前申請時だけでなく、市販後の機器におけるソフトウェアへのいかなる変更も反映するために、定期的にアップデートされるべきであり、21 CFR 820.30(j)（設計履歴ファイル）および820.181 446（設計マスター記録）の文書化機能をサポートすべきであるとしている。

　そして、FDAによる機器のリスクおよびサイバーセキュリティに関わる安全性および有効性へのインパクトの評価をサポートするために、製造業者がSBOMによる文書化機能を市販前申請に含めるよう推奨している。加えて、SBOMは、ラベリングの一種として、潜在的リスクに関するユーザーとの透明性のための重要なツールとなりうるとしている。

　FDAが既に公開している「医療機器における市販品（OTS）ソフトウェアの利用」（2019年9月公開、関連情報）や「市販品（OTS）ソフトウェアを含むネットワーク接続された医療機器向けのサイバーセキュリティ」（2005年1月公開、関連情報）では、製造業者がソフトウェアライフサイクルの完全なコントロールを求めることができないソフトウェアコンポーネント向けの市販前申請時に提供されるべき情報を記述している。

　今回のガイダンス草案では、これらのガイダンスで推奨された情報に加えて、個々のOTSコンポーネント向けに以下のような情報を、市販前申請時に、機械判読可能なフォーマットで提供すべきだとしている。

A．ソフトウェアコンポーネントがある資産
B．ソフトウェアコンポーネントの名前
C．ソフトウェアコンポーネントのバージョン
D．ソフトウェアコンポーネントの製造業者
E．ソフトウェアコンポーネントの製造業者からのモニタリングとメンテナンスを通じて提供されるサポートのソフトウェアレベル
F．ソフトウェアコンポーネントのサポート終了日
G．あらゆる既知の脆弱性

　また、このような情報をFDAに提供する際に、業界が受け入れたSBOMのフォーマットを利用することが可能であるとしている。ただし、SBOMで上記の要素が捕捉できない場合、市販前申請レビューを支援する目的で、付録として、FDAに提供することが可能であるとしている。

医療機器の市販前と市販後のセキュリティ管理策をつなぐSBOM

　このように、FDAを中心とする行政機関の医療機器サイバーセキュリティへの取組と並行して、立法権を担う米国連邦議会でも、積極的な取組が進んでいる。例えば、米国議会の下院では、2022年3月15日に、民主党・共和党議員による共同提案として、「2022年サイバー医療保護変革（PATCH：Protecting and Transforming Cyber Health Care）法案」が上程された（関連情報）。その後同月31日には、上院で同様の法案が上程され、両院で審議が行われている。

　この法案では、サイバー機器の市販前申請時の情報に含まれるサイバーセキュリティを保証し、サイバー機器のライフサイクル全体を通して、安全性および有効性を合理的に保証することを目的としている。特に、サイバーセキュリティ関連要求事項として以下のような店を掲げている。

（1）製造業者は、市販後におけるサイバーセキュリティ脆弱性や悪用を適切にモニタリングし、特定して処理する計画を有すべきである
（2）製造業者は、
- （A）食品医薬品局への申請の一部として、協調的な脆弱性情報開示のための計画と手順を有すべきである
- （B）サイバー機器の安全性や有効性の合理的な保証を示すために、このような保健福祉省長官が要求する可能性があるその他の情報を収集し、維持すべきである
（3）製造業者は、以下のような取組のために、サイバー機器のライフサイクルを通して、更新やパッチを、サイバー機器および関連システムに対して適用可能にするプロセスや手順を設計、構築、維持すべきである
- （A）合理的に正当化された日常的なサイクル上で、既知の受容できない脆弱性
- （B）できるだけ早くサイクル外で、コントロールできないリスクを引き起こす可能性がある重大な脆弱性
（4）ユーザーに提供される商用のオープンソースで汎用的なソフトウェアコンポーネントなどを含むソフトウェア部品表（SBOM）を、保健福祉省長官向けに備え付けるべきである

　なお、医療を含む重要インフラストラクチャのサイバーインシデント情報開示に関連して、2022年3月15日、米国議会は「2022年重要インフラストラクチャ向けサイバーインシデント報告法（CIRCIA）案」を可決し、米国大統領のジョー・バイデン氏による署名を経て成立した（関連情報）。同法の適用対象となる重要インフラストラクチャ構成組織（保健医療セクター含む）は、以下のうちいずれか1つに該当する場合、インシデント確認後72時間以内に、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）に対して報告する義務がある。

（i）情報システム／ネットワークの機密性、完全性または可用性の損失につながったり、業務システムおよびプロセスの安全性や強靭性に重大な影響を及ぼしたりするような情報システム／ネットワークへの不正アクセス
（ii）以下に対するDoS攻撃、ランサムウェア攻撃、ゼロデイ脆弱性による搾取に起因するビジネス／産業業務の破壊
- （I）情報システム／ネットワーク
- （II）制御技術システム／プロセス
（iii）クラウドサービスプロバイダー、マネージドサービスプロバイダー、その他のサードパーティーデータホスティングプロバイダーに対する侵害またはサプライチェーン攻撃により起きたサービスの損失に起因する不正アクセスまたはビジネス／産業業務の破壊

　また、適用対象主体が、ランサムウェア攻撃を受けて身代金を支払った場合には、支払い後24時間以内にCISAに対して報告する義務がある。

　さらに米国内に上場する公開企業のインシデント情報開示に関連して、証券取引委員会（SEC）が、2022年3月9日、「RIN 3235-AM89: サイバーセキュリティ管理、戦略、ガバナンス、インシデント情報開示」規則・改定提案を公表している（関連情報）。このうち、サイバーセキュリティインシデント情報開示については、以下のような要求事項案を提示している。

Form 8-Kを改定し、公開会社が重大なサイバーセキュリティを経験したと判断した後4営業日以内に、重大なサイバーセキュリティインシデントに関する情報を開示するよう求める
新たにS-K規則の第106（d）号、Form 20-Fの16J（d）号を追加し、過去に開示したサイバーセキュリティインシデントに関する最新の開示を提供するよう求めるとともに、過去に開示していなかった個別の重大でないサイバーセキュリティインシデントが、全体として重大になった時、マネジメントが知っている範囲で開示するよう求める
Form 6-Kを改定し、“サイバーセキュリティインシデント”を報告事項として追加する

　このように、米国のさまざまな業種・業界で、サイバーインシデントに関わる迅速な情報開示を求める法規制が新設・改正されている。医療機器企業が直接的な法規制の適用対象となっていないケースでも、重大なサイバーインシデントが発生すると、サプライチェーン全体のリスクマネジメントや安全保障の観点から影響を受ける可能性が高まっている。SBOMに代表される医療機器申請時の新たなサイバーセキュリティ要求事項については、下流の市販後安全対策における予防的なリスク低減策としても認識すべきだろう。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
AI実装に踏み込む米国FDAの医療機器ガイドライン策定計画
本連載第78回、第79回と、欧州の医療機器に関わる規制動向を取り上げた。一方、米国のFDAはAIをはじめとする新技術利用に重点を置いた規制改革を推進している。
加速するEU医療機器規則とIMDRFセキュリティ原則の国際調和
本連載第50回で、欧州の医療機器規制改革とサイバーセキュリティ動向を取り上げたが、新規則施行に向けた動きが本格化してきた。
米国規制当局のDXが医療イノベーションに及ぼす影響
本連載第23回で米国保健医療行政のIT戦略を取り上げたが、その後、デジタルトランスフォーメーション（DX）の取り組みが加速している。
国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス（SaMD）の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI（人工知能）活用の前提条件になってきそうだ。
急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響
ホワイトハウス主導の米国サイバーセキュリティ法が2015年末から急展開を始めている。同法は保健医療分野の製品／システム開発にどのような影響を及ぼすのだろうか。
米国FDAが強化を求める医療機器のサイバーセキュリティ
重要情報インフラの中でも、サイバー攻撃による脅威の拡大が顕在化している米国の医療界。医療のICTサプライチェーンを担う医療機器企業に対するセキュリティの要求事項も高度化している。