米国Food and Drug Administration(FDA)は、医療機器のサイバーセキュリティに関するガイダンスを更新しました。医療機器メーカーには、製品の初期開発から市場投入後まで、ライフサイクル全体でサイバーセキュリティを考慮した設計・管理を行うことが求められます。
更新されたガイダンスは、「Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions」とされ、FDAのQuality Management System Regulation(QMSR)に関連する要求を扱っています。具体的には、医療機器のライフサイクルを通じたリスクの特定、分析、評価、管理、監視に関するプロセスが焦点となります。
FDAは、QMSR要求への対応アプローチとして、Secure Product Development Framework(SPDF)の採用を提案しています。SPDFは、製品ライフサイクル全体で脆弱性の数と深刻度を低減するための一連のプロセスとして説明されています。
医療機器におけるサイバーセキュリティは、単なる申請時のチェック項目ではなく、設計、検証、リスク管理、変更管理、市販後対応までを含む継続的な活動です。米国市場向けの医療機器を開発・申請するメーカーは、技術文書、QMS、脆弱性対応プロセスの整合性を確認することが重要です。
なお、FDAのガイダンス文書は当局の現時点での考え方を示すものであり、法律そのものの効力を持つものではありません。ただし、実務上は申請資料や規制対応の方向性を検討する際の重要な参照情報となります。
製品認証部へのお問い合わせはjapan@nemko.comまで。