医療機器のサイバーセキュリティの確保に関するガイダンスについて
2026年最新動向アップデート(医療機器サイバーセキュリティガイダンス)
本記事は医療機器サイバーセキュリティガイダンスを扱ったものです。医療機器のサイバーセキュリティは2022〜2026年に米国FDA・EU MDCG・国際整合の各方面で大きく動いています。
米国FDA:Section 524B 義務化
- FD&C Act §524B(PATCH Act、2022年12月成立/2023年3月29日施行):サイバーデバイスは市販前申請でサイバーセキュリティ計画・SBOM・脆弱性管理プロセスを提出義務化。
- FDA最終ガイダンス「Cybersecurity in Medical Devices」(2023年9月)。
- 市販後の脆弱性開示・パッチ提供・CVDプログラムの体制整備が必要。
EU・国際の最新動向
- MDCG 2019-16 Rev.1(医療機器サイバーセキュリティガイダンス):脅威モデル・SBOM・脆弱性管理。
- IEC 81001-5-1:2021:医療機器ソフトウェアライフサイクルにおけるセキュリティ。
- EU Cyber Resilience Act(CRA):デジタル要素を含む製品の包括的サイバーセキュリティ要件。
- NIS2指令、IMDRF Cybersecurity WGの最新ガイダンス。
- PMDAも厚労省「医療機器のサイバーセキュリティ確保に関するガイダンス」の改定を進めている。
AI/MLとの接続
AI/ML医療機器ではPCCP(Predetermined Change Control Plan)の中でセキュリティアップデートを扱う場合、市販後の更新計画とサイバーセキュリティ脅威モデルを統合した管理が求められます。
※以下は本記事のオリジナル解説です。
