FDAの最新医療機器セキュリティ・ガイダンス

記事投稿:マスターコントロール株式会社
医療機器がますます複雑化していくにつれて、それを取り巻く規制も複雑になっています。ソフトウェアやコネクテッドデバイスがもたらすリスクを考えれば、これは理解できることです。米国食品医薬品局(FDA)は、これまで医療機器のセキュリティに関するガイダンスを発表してきましたが、技術の進歩に伴い、より頻繁なガイダンス文書の作成が必要になっています。FDAが発表する最新のサイバーセキュリティ・ガイダンスは、まだドラフトの段階である「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions(医療機器における品質システムの検討と市販前提供の内容)」です*¹。
ソフトウェア部品表(SBOM)
最近、別の投稿で述べたように*²、「ソフトウェア部品表 : Software Bill of Materials(SBOM)」の考え方は、目新しいものではありません。そして、予想通り、規制上の「あると便利なもの」ではなく、より要求の高いものになりつつあります。この最新のガイダンス文書では、SBOMを21 CFR 820の要件と結び付けています。このガイダンスでは、「すべてのソフトウェアは、サイバーセキュリティのリスクを評価し、そのリスクに対処する必要がある。したがって、デバイス製造業者は、デバイスのすべてのソフトウェアコンポーネントを文書化することが期待される。」と述べています*³。
SBOM はまだ必須ではありませんが、この要件を満たす可能性のある方法として注目されています。SBOMは、すべてのソフトウェアコンポーネントをリストアップし、ソフトウェアの脆弱性の影響を受ける機器を特定することで、医療機器のサイバーセキュリティリスク管理を支援するものです。当局は、SBOMを医療機器の市販前申請に含めることを推奨しており、ガイダンスの中で含めるべき文書を列挙しています。
Secure by Design
Quality by Designは、製品に最初から品質を作り込むという考え方です。Secure by Designも同じ基本的な考え方に沿っています。FDAのサイバーセキュリティ・ガイダンスは、製品が完成してからサイバーセキュリティを検討するのではなく、製品開発の初期段階から機器にサイバーセキュリティを組み込むことを医療機器メーカーに推奨しています。このアプローチにより、医療機器メーカーがサイバーセキュリティを最優先事項としていることを示せば、このガイダンスや今後のガイダンス文書に従うことが容易になるはずです
AI/Ml対応SaMD
このガイダンスをさらに明確にしたい人のために、FDAは、プレゼンテーションとQ&Aを含むウェビナーを開催しました*⁴。Q&Aの中で、出席者の一人が、人工知能(AI)や機械学習(ML)を使用するSoftware as a Medical Device(SaMD)についての質問を投げかけました。SaMDは依然として医療機器であるため、医療機器のサイバーセキュリティリスク管理は依然として懸念事項であり、このガイダンスは間違いなく、引き続き適用されます。FDAの担当者の回答は、ガイダンスの目的に焦点を当てるというものでした。
AI/ML対応のSaMDでは、これらの原則の異なる適用が必要になります。アルゴリズムのインテグリティは注視すべき点であり、アルゴリズムがどこに格納されているかによって、企業がこのガイダンスをどのように適用するかが変わってきます。FDAの担当者が挙げた例では、クラウド上のAI/MLにこのガイダンスを適用することは、医療機器の一部であるAI/MLとは異なる印象を与えるだろうというものでした。医療機器ではAI/MLが一般的になりつつありますが、FDAのサイバーセキュリティガイダンス自体には触れられていないのは興味深い点です。
まとめ
医療機器の接続性が高まれば高まるほど、サイバーセキュリティのリスクは高まります。FDAやその他の規制機関は、医療機器企業がハッカーの前に立ちはだかり、患者の安全を確保するのを支援しようとしています。サードパーティプロバイダーや、AI/MLによってさらに複雑化したデバイスに対処しなければならないことは、独自の課題を提起します。業界のベストプラクティスとこのガイダンスに従うことで、医療機器企業は医療機器サイバーセキュリティのリスク管理を改善し、患者のための安全なデバイスを確保することができます。
参照
- "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions," U.S. Food and Drug Administration, April 8, 2022.
- "4 Medical Device Trends Quality Professionals Need to Know," Matt Lowe, MPO Magazine, Aug. 1, 2022.
- Supra note 1
- "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions," U.S. Food and Drug Administration, June 23, 2022.
著者のご紹介
Matt Lowe医療機器の専門家であるMatt Loweは、2006年にMasterControl, Incに入社しました。以来、プロダクトマネージャーおよび上級副社長としてMasterControlに貢献してきました。彼のキャリアは、Ortho Development Corp.とBDの子会社であるBard Access Systemsでの製品開発および製品管理を含んでいます。Loweは、10以上の医療機器の発売を成功させてきました。5つの特許を取得し、1つは申請中です。また、FDAの認可を受けた510(k)を作成し、整形外科機器の多施設、複数年の市販後臨床研究を管理した経験もあります。
Loweは、ユタ大学で機械工学の学士号を、インディアナ大学でMBAを取得しています。
本投稿は、英語の文献を元に翻訳または抄訳及び校正を行っており、本ページに掲載されている全ての情報や画像の著作権は、当社(マスターコントロール株式会社)に帰属します(他社提供のクレジット表記入り画像等を除く)。コンテンツの再発行及び再配布は、個人利用の場合を除き、当社より許可を得た場合のみ可能です。また、本ページを含む当社のWebコンテンツを利用することで発生する損害やトラブルについて、当社は一切の責任を負いません。
■■■サービスのご案内■■■
以下問合せ先にお問い合わせください。
<お問い合わせ先>
マスターコントロール株式会社
事業部
E-mail : https://www.mastercontrol.co.jp/contact/
TEL: 050-3823-0455
■■■会社案内■■■
グローバルにビジネスを展開する大企業から、中堅・中小企業まで、プロダクトマネジメントシステム(PLx)を管理するソフトウェアとして、世界中の様々な企業で採用されています。プロダクトマネジメントシステム(PLx)ソフトウェアソリューションの購入は、今後数年間、さらには何十年にもわたって、企業に影響を与える可能性のある大きな投資です。そのため、導入やそれ以上の内容をサポートするPLxプロバイダーの選択は重要で、単にソフトウェアの機能だけでなく、全体的な成功に重点を置くテクノロジーパートナーが必要となります。
マスターコントロールのソフトウェアは、日本企業を含む世界1,500社以上のお客様にご利用頂いており、米国FDA(米国食品医薬局)の全世界のORA部門にも導入頂いています。
コメント
/
/
/
コメント