　その後EUでは2024年12月10日、IoT製品のCEマーク表示を義務付けるサイバーレジリエンス法が発効し、2027年12月11日に主要規定が適用開始となる予定である（関連情報）。また米国では2025年1月7日、連邦通信委員会（FCC）が所管する消費者IoT製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」が正式にスタートしている（関連情報）。日本では、スマートホーム、工場、ビルなど、特定分野システムの製品を対象とする「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」が、2025年3月から運用を開始する予定である（関連情報）。

　他方、医療機器の領域では2024年10月16日、シンガポールサイバーセキュリティ庁（CSA）が、保健省（MOH）、保健科学庁（HSA）、Synapxe（旧IHiS）と協力して準備してきた「医療機器向けサイバーセキュリティラベリングスキーム（CLS（MD））」が、正式に導入された（関連情報）。このスキームは、CLS（IoT）の枠組みを医療機器に適用したものであり、2007年医療製品法（関連情報）や、本連載第69回で取り上げた国際医療機器規制当局フォーラム（IMDRF）の「医療機器サイバーセキュリティの原則および実践」（関連情報）に準拠しながら、アジア太平洋医療技術協会（APACMed、関連情報）やシンガポール製造業協会医療技術産業グループ(SMF - MTIG、関連情報)からの意見を参考にして策定された。

AIモデルまで踏み込んだシンガポールのSaMD規制ガイドライン

　参考までに、SaMDのサイバーセキュリティについては、HSAが2024年3月1日に公表した「ソフトウェア医療機器に関する規制ガイドライン改訂第3版 - ライフサイクルアプローチ」（関連情報、PDF）の中で、以下のような点に関する考慮事項を提示している。

セキュアな機器設計
顧客のセキュリティの文書化
サイバーリスクマネジメント
検証と妥当性確認
継続的な調査計画と新たな脅威の迅速な検知

　上記のうち、顧客のセキュリティの文書化では、本連載第82回で触れたソフトウェア部品表（SBOM）の有効活用について言及している。

　加えてこのガイドラインでは、AI（人工知能）ベースのSaMDに関する規制についても触れている。図4は、ソフトウェア医療機器のAIモデルの具体例を示したものである。

図4　ソフトウェア医療機器のAIモデルの例出所：Health Sciences Authority「GL-04-R3 Regulatory Guidelines for Software Medical Devices - A Life Cycle Approach」（2024年3月1日）

　そして、以下のような点について言及している。

AI-MD向けの規制要求事項
継続的学習機能を有するAI-MD向けの追加的考慮事項
AI-MDの市販後監視
登録済AI-MDに対する変更

　シンガポールには、グローバル医療機器企業のアジア拠点が集中しており、シンガポール政府当局も、海外の医療機器サイバーセキュリティ規制への迅速な対応を進めている。加えて、クラウドコンピューティングの領域では、2025年2月12日、アマゾンがシンガポール事務所をAWSアジア太平洋ハブとして拡張することを発表するなど（関連情報）、AIをにらんだICT基盤の強化策が進んでおり、海外メドテックスタートアップ企業の誘致にも積極的だ。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
医療／介護イノベーションの“砂場”に変貌するシンガポール
地域医療／介護連携ネットワークの共通基盤化が進み、主要プラットフォーム事業者のクラウドセンターが集中するシンガポール。今や、次世代健康／ウェルビーイング領域のイノベーションのためのテクノロジーサンドボックスに変貌している。
医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策
米国では、本連載第98回で取り上げた消費者IoT製品向け認証／ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器／Non-SaMD（Software as a Medical Device）を取り巻く動きが加速している。
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局（FDA）の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
加速するEU医療機器規則とIMDRFセキュリティ原則の国際調和
本連載第50回で、欧州の医療機器規制改革とサイバーセキュリティ動向を取り上げたが、新規則施行に向けた動きが本格化してきた。
正式発効する欧州保健データスペース「EHDS」で医療機器メーカーが果たす役割
本連載第70回から欧州連合（EU）の欧州保健データスペース（EHDS）構想を取り上げてきたが、ようやく正式に発効することが決まった。