FDAサイバーセキュリティガイダンス

FDAのサイバーセキュリティドラフトガイダンス

FDAは、2022年4月8日付で「Cybersecurity in Medical Devices: Quality System Considerations nd Content of Premarket Submissions Draft Guidance for Industry and Food and Drug Administration Staff」と呼ばれるドラフトガイダンスを発表した。
これは、サイバーセキュリティに関する市販前の考慮事項に関するドラフトガイダンスである。
市販前のサイバーセキュリティに関するガイダンスは2018年にもドラフトが発表されていたが、FDAは当該ドラフトガイダンスを最終化するのではなく、今回新たにドラフトガイダンスを発表しなおした。
2018年のガイダンスはサイバーセキュリティを考慮した製品開発の枠組みを提供するものだった。
それに対して、今回のガイダンスはQSRのコンテクストでサイバーセキュリティについて検討し、かつQSR要求事項を満たすためにSecure Product Development Framework (SPDF/安全な製品開発フレームワーク)の使用を検討するよう求めている。
また、製造業者に対しSBOM（Software Bill of Material）を作成し、承認等申請に際してFDAに提出するよう求めている。

FDAはこれまでも承認審査等において、ネットワークポートやSDカードなどの外部記憶媒体にアクセスできる機能を持った医療機器のサイバーセキュリティ対策について、質問をし、審査して来た。
昨今の状況から、文書化したガイダンスの発行を急いでいるものと思われる。
国際的に販売される医療機器は、一国内だけでサイバーセキュリティ対策すれば良いというものではない。
今後、日本国内で製造販売される医療機器においても、同様の基準が課されることになると予想される。
本邦においては、2021年12月24日付で「医療機器のサイバーセキュリティ導入に関する手引書」が発出されている。
この手引書は、IMDRFが2020年3月18日付で発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則および実践）」をもとに、医療機器のサイバーセキュリティに係る必要な開発目標および技術要件等を検討し、取りまとめたものである。
2023年を目途に基本要件基準（医薬品、医療機器等の品質、有効性および安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準（平成17年厚生労働省告示第122号））等の所要の改正を行う予定である。
今後、許認可等において医療機器のサイバーセキュリティ対応を確認することができる体制を構築することになる。
医療機器企業各社はサイバーセキュリティ対策に関する手順書等の作成が急がれる。