サイバーセキュリティ手引書とIEC 81001-5-1
サイバーセキュリティ手引書とIEC 81001-5-1
本邦において、サイバーセキュリティ対応のための規制要求が2つ存在する。
「医療機器のサイバーセキュリティ導入に関する手引書」と「IEC 81001-5-1 ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ-第5-1部:セキュリティ-製品ライフサイクルにおけるアクティビティ」である。
内容は似通っているものの、若干の違いも存在する。
いわばダブルスタンダード状態である。いったい、どのような対応が求められるのであろうか。
医療機器のサイバーセキュリティ導入に関する手引書
2020年3月18日に、IMDRFが「Principles and Practices for Medical Device Cybersecurity」(医療機器サイバーセキュリティの原則および実践)」を発行した。
これを受けて、厚生労働省は、2020年5月に「国際医療機器規制当局フォーラム(IMDRF: International Medical Device Regulators Forum)による医療機器サイバーセキュリティの原則および実践に関するガイダンスの公表について」との周知依頼を発出した。
内容としては、IMDRFガイダンスを翻訳した文書であった。日本で独自のサイバーセキュリティに関するガイダンスを発行するまでの間、対応が急がれたためであると思われる。
2021年12月24日には「医療機器のサイバーセキュリティ導入に関する手引書」が発出された。これは、IMDRFのガイダンスに日本固有の要件を追加したものとなった。つまり、この手引書を遵守すれば、IMDRFガイダンスはカバーできているものになっている。
本手引書の位置付けは「許認可等において医療機器のサイバーセキュリティ対応を確認することができる体制を構築する」というものである。
つまり、本手引書に従って、サイバーセキュリティ対応の体制を構築し、手順書を整備することが求められ、査察時にはそれらが調査されるという意味合いである。
さらに、IMDRFにおいて追補ガイダンスが発行されたことから、その内容に基づき、2023年3月31日に「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」が発出された。
IEC 81001-5-1:2021
一方において、医療機器の基本要件基準 第12条 「プログラムを用いた医療機器に対する配慮」に第3項が加えられ、サイバーセキュリティ対応が必須となった。
ここにおいて、IEC 81001-5-1:2021(JIS T 81001-5-1:2023)への対応が求められている。
ただし、本要件は、2023年4月1日から適用されるが、1年間の経過措置期間が設定された。
基本要件基準に盛り込まれたということは、本IEC 81001-5-1を遵守して、医療機器ソフトウェアの開発を行わなければ、認証申請/承認申請において、認証/承認がされないことを意味する。
つまり、IEC 81001-5-1は、認証申請/承認申請において、遵守が必要ということになる。
どちらに準拠すべきか
「医療機器のサイバーセキュリティ導入に関する手引書」と「IEC 81001-5-1」の明確な使い分けに関しては、今のところ何ら情報はない。
両者を合わせた体制作り、手順書の作成が必要である。 しかしながら、そのためには、双方を深く理解し、GAPを分析し、自社としての方針・手順を決めなければならない。
