医療機器のサイバーセキュリティ導入に関する手引書
2026年最新動向アップデート(医療機器サイバーセキュリティ導入手引書)
本記事は医療機器サイバーセキュリティ導入手引書を扱ったものです。医療機器のサイバーセキュリティは2022〜2026年に米国FDA・EU MDCG・国際整合の各方面で大きく動いています。
米国FDA:Section 524B 義務化
- FD&C Act §524B(PATCH Act、2022年12月成立/2023年3月29日施行):サイバーデバイスは市販前申請でサイバーセキュリティ計画・SBOM・脆弱性管理プロセスを提出義務化。
- FDA最終ガイダンス「Cybersecurity in Medical Devices」(2023年9月)。
- 市販後の脆弱性開示・パッチ提供・CVDプログラムの体制整備が必要。
EU・国際の最新動向
- MDCG 2019-16 Rev.1(医療機器サイバーセキュリティガイダンス):脅威モデル・SBOM・脆弱性管理。
- IEC 81001-5-1:2021:医療機器ソフトウェアライフサイクルにおけるセキュリティ。
- EU Cyber Resilience Act(CRA):デジタル要素を含む製品の包括的サイバーセキュリティ要件。
- NIS2指令、IMDRF Cybersecurity WGの最新ガイダンス。
- PMDAも厚労省「医療機器のサイバーセキュリティ確保に関するガイダンス」の改定を進めている。
AI/MLとの接続
AI/ML医療機器ではPCCP(Predetermined Change Control Plan)の中でセキュリティアップデートを扱う場合、市販後の更新計画とサイバーセキュリティ脅威モデルを統合した管理が求められます。
※以下は本記事のオリジナル解説です。
医療機器のサイバーセキュリティ関連情報
- 「医薬品・医療機器等安全性情報 No.373」、厚生労働省医薬・生活衛生局医薬安全対策課(令和2年6月)
- 「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」厚生労働省医薬・生活衛生局医療機器審査管理課長(薬生機審発0513第1号)、厚生労働省医薬・生活衛生局医薬安全対策課長(薬生安発0513第1号)(令和2年5月13日)
- 「医療機器のサイバーセキュリティに関する質疑応答集(Q&A)」一般社団法人 日本医療機器産業連合会 法制委員会 医療機器プログラム対応WG(平成31年3月26日)
- 「医療機器のサイバーセキュリティの確保に関するガイダンスについて」厚生労働省医薬・生活衛生局医療機器審査管理課長(薬生機審発0724第1号)、厚生労働省医薬・生活衛生局医療機器審査管理課長(薬生安発0724第1号)(平成30年7月24日)
- 「医療機器におけるサイバーセキュリティの確保について」厚生労働省大臣官房参事官(医療機器・再生医療等製品審査管理担当)(薬食機参発0428第1号)、厚生労働省医薬食品局安全対策課長(薬食安発0428第1号)(平成27年4月28日)
