連載
» 2018年11月30日 14時00分 公開

海外医療技術トレンド(41):米国のサイバーセキュリティ行政変革と医療機器規制 (2/2)

[笹原英司,MONOist]
前のページへ 1|2       

FDAの医療機器申請時サイバーセキュリティ指針も改訂へ

 このようなサイロ型縦割り行政の枠を超えたサイバーセキュリティ情報共有/分析重視の動きは、医療機器の領域にも大きな影響を及ぼしている。本連載第27回で米国のデジタルヘルス規制の枠組みづくりを取り上げたが、食品医薬品局(FDA)は、2018年9月12日、「デジタルヘルスイノベーション行動計画」の一環として、2019会計年度に、デジタルヘルス・センターオブエクセレンスを創設し、サイバーセキュリティユニットを支援する方針を打ち出した(関連情報)。

 同年10月15日には、FDAとDHS傘下のNPPDが、医療機器サイバーセキュリティに関する合意覚書(MoA)を締結したことを発表している(関連情報)。この覚書に基づくDHS側の具体的な施策については、前述の通り、NPPDを引継いだサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が担うことになる。

 さらにFDAは10月18日、本連載第10回で取り上げた医療機器申請時のサイバーセキュリティ対策指針に関連して、「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」(関連情報)を公表した。FDAは、現行版ガイダンス(2014年10月、関連情報、PDF)のアプローチを踏まえつつ、サイバーセキュリティリスクに応じた機器の区分を以下のように規定している。

  • Tier 1:“高度のサイバーセキュリティリスク”(以下の要件を満たす場合)
    • 機器が、他の医療製品または非医療製品、ネットワーク、インターネットに接続する機能を有する
    • 機器に影響を及ぼすサイバーセキュリティインシデントが、直接、複数患者に及ぶ患者の危害に至る可能性がある
  • Tier 2:“標準的なサイバーセキュリティリスク”
    • Tier 1機器の基準を満たさない医療機器

 その上で、「V.信頼できる機器の設計:NISTサイバーセキュリティフレームワークの適用」の章を追加し、機器設計に適用するNISTサイバーセキュリティフレームワークの要求事項を、以下のような項目について例示している。

  • A.機器資産および機能の特定と保護
    1. 不正使用の防止
    2. コード、データ、実行の完全性の維持による信頼された内容の保証
    3. データの機密性の維持
  • B.検知、対応、復旧:設計への期待
    1. 迅速に、サイバーセキュリティイベントを検知する機器の設計
    2. 潜在的なサイバーセキュリティインシデントのインパクトに対応し、阻止する機器の設計
    3. サイバーセキュリティインシデントによって障害が発生した機能またはサービスを復旧させる機器の設計

 FDAは、Tier 1医療機器の市販前申請について、機器設計やリスク評価が、上記のサイバーセキュリティ設計コントロール策をどのようにして組み込んだかを明確に示すような文書化を推奨している。他方、Tier 2医療機器の市販前申請については、以下のいずれかで、文書化することを推奨している。

  1. 特定の設計機能およびサイバーセキュリティ設計コントロール策を組み込んだことを明確に示す
  2. 特定のサイバーセキュリティ設計コントロール策がふさわしくない理由を示すリスクベースの根拠を提供する

 その他、ガイダンス草案では、「VI.サイバーセキュリティリスクのある機器表示の推奨事項」、「VII.サイバーセキュリティの文書化」、「VIII.認定された標準規格」の章が追加されている。なお、本連載第14回で取り上げた、ULのサイバーセキュリティ試験基準「UL 2900」シリーズに基づきソフトウェアのサイバーセキュリティに関する一般的な要求事項を記した「UL 2900-1」(関連情報)、ネットワーク接続された医療機器を含むヘルスケアシステムに関する要求事項を記した「UL 2900-2-1」(関連情報)は、「認定された標準規格」のデータベースに収録されている。

 上記のように、米国では、サイロ型縦割り行政からの脱却に向けた横断的なサイバーセキュリティ政策が急展開している。他方、日本では、2018年7月24日、厚生労働省の医薬・生活衛生局が「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(関連情報、PDF)を公表したが、医療情報システムの安全管理を所管する同省の政策統括官付情報化担当参事官室や、重要インフラの情報セキュリティ対策全体を所管する内閣サイバーセキュリティセンターなどとの間のサイバーセキュリティ情報共有/分析体制整備や専門人材育成に向けた具体的な動きは、これからの段階だ。

 米国の横断的なサイバーセキュリティ行政変革は、今後の日本国内の医療機器サイバーセキュリティ規制に影響が及ぶ可能性が大きいので、米国事業展開をしていない医療機器企業も注目しておく必要がある。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.