日本の一足先を行く米国のコミュニケーション重視型医療機器サイバーセキュリティ：海外医療技術トレンド（76）（2/3 ページ）

本連載第69回で欧州連合の医療機器サイバーセキュリティ政策動向を取り上げたが、今回は米国の最新動向を整理してみたい。

[笹原英司，MONOist]

トータル製品ライフサイクルに基づくインシデント対応から予防へ

　さらに2021年6月17日、医療機器・放射線保健センター（CDRH）は、前述のFDARAに基づくアクションの一環として、「医療機器のサービス提供に関連するサイバーセキュリティプラクティスの強化：課題と機会」（関連情報）と題するディスカッションペーパーを公表し、パブリックコメントの募集を開始した（募集期間：2021年9月22日まで）。このディスカッションペーパーは、医療機器サービス提供に固有のサイバーセキュリティ課題および機会を検討することを目的としており、以下のような構成になっている。

1. イントロダクションと背景
2. スコープ
3. 医療機器のサービス提供におけるサイバーセキュリティの課題と機会 - ソフトウェアを含む変更
   • 3.1 特権アクセス
   • 3.2 サイバーセキュリティ脆弱性やインシデントの特定
   • 3.3 サイバーセキュリティ脆弱性の防止と低減
   • 3.4 製品ライフサイクルの課題と機会
4. ディスカッションの質問

　その中でFDAは、サイバーセキュリティについて、インターネットやネットワークおよびその他の機器に接続した医療機器に影響が及ぶ大きな課題であり、不正アクセスや、修正、誤用、使用の拒否、さらには、保存、アクセス、または医療機器から外部の受信者に転送された情報の不正使用を防止するプロセスであるとしている。そして、トータル製品ライフサイクル（TPLC）手法を組み込んだ、申請時および市販後対策に関わる医療機器サイバーセキュリティガイドラインなどを通じて、段階的な医療機器サイバーセキュリティ対策に取り組んできたとしている。

　特に、サイバーセキュリティは、OEMメーカー、医療施設、医療提供者および独立系サービス組織（ISOs）の間の共有責任であることから、FDAは、医療機器のOEMメーカー、医療施設、医療提供者および独立系サービス組織（ISOs）など、医療機器に関わるステークホルダー間の共有責任の重要性を訴えている。

　FDAは、ディスカッションペーパーの優先課題として、以下の4点を挙げている。

1. 特権アクセス
2. サイバーセキュリティ脆弱性やインシデントの特定
3. サイバーセキュリティ脆弱性の防止と低減
4. 製品ライフサイクルの課題と機会

　そして、FDAは、ディスカッションペーパーに対するパブリックコメントを募集するのに際して、以下のようなトピック・質問に関するインプットを求めている。

1. 医療機器のサービス提供に関連するサイバーセキュリティの課題と機会は何か？
2. このホワイトペーパーで特定した4つの領域は、医療機器のサービス提供において取り組むのに、正しいサイバーセキュリティの優先事項となっているか？
3. 医療機器をサービス提供する主体は、どのような方法で、医療機器サイバーセキュリティの強化に寄与できるか？

　このように見ると、FDAは、特権アクセス管理やトータル製品ライフサイクル手法を有効活用しながら、サイバーインシデント対応策を強化し、予防的対策へと展開していこうという姿勢がくみ取れる。