連載
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策:海外医療技術トレンド(82)(1/3 ページ)
本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
米国FDAが市販前サイバーセキュリティ指針改定案を公開
2022年4月8日、FDAは、本連載第10回で取り上げた「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス」(2014年10月公開、関連情報)に代わる「医療機器におけるサイバーセキュリティ: 品質システムの考慮事項と市販前申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」(関連情報)を公開し、パブリックコメントの募集を開始した(募集期間:2022年7月7日まで、図1参照)。
図1 米国食品医薬品局(FDA)の意見公募手続公示[クリックで拡大] 出典:Federal Register「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions; Draft Guidance for Industry and Food and Drug Administration Staff; Availability」(2022年4月8日)
これに先立ちFDAは、トランプ政権下の2018年10月18日に「医療機器サイバーセキュリティ管理に関わる承認申請の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」(関連情報)を公示し、パブリックコメントを募集していた。今回公開された草案は、その際に寄せられた意見や、本連載第14回で触れた「ヘルスケア産業サイバーセキュリティ・タスクフォース」(関連情報)の報告書を踏まえて策定されたものである。
本草案は、以下のような構成になっている。
- I.イントロダクション
- II.スコープ
- III.背景
- IV. 一般原則
- A.サイバーセキュリティは機器安全と品質システム規制の一部である
- B.セキュリティのための設計
- C.透明性
- D.承認申請の文書化
- V.サイバーセキュリティリスクを管理するためのSPDF(セキュア製品開発フレームワーク)利用
- A.セキュリティリスクマネジメント
- 1.脅威モデリング
- 2.サードパーティー製ソフトウェアコンポーネント
- 3.未解決の異常のセキュリティ評価
- 4.セキュリティリスクマネジメントの文書
- 5.TPLセキュリティリスク管理
- B.セキュリティアーキテクチャ
- 1.セキュリティコントロールの展開
- 2.セキュリティアーキテクチャの視点
- (a)グローバルシステムの視点
- (b)複数患者の危害の視点
- (c)アップデート可能性とパッチ可能性の視点
- (d)セキュリティユースケースの視点
- C.サイバーセキュリティ試験
- A.セキュリティリスクマネジメント
- VI.サイバーセキュリティの透明性
- A.サイバーセキュリティリスクのある機器向けラベリングの推奨事項
- B.脆弱性管理計画
- 附表1.セキュリティコントロールのカテゴリーおよび関連する推奨事項
- A.認証
- B.認可
- C.暗号化
- D.コード、データと実行の完全性
- E.機密性
- F.イベント検知とロギング
- G.強靭性と復旧
- H.ファームウェアとソフトウェアアップデート
- 附表2.セキュリティアーキテクチャフロー向け申請の文書化
- A.コールフローダイヤグラム
- B.アーキテクチャビュー向け情報の詳細
- 附表3.治験用機器免除向け申請の文書化
- 附表4.用語集
Copyright © ITmedia, Inc. All Rights Reserved.