米国特集 第4回：米国FDAにおけるサイバーセキュリティ要件

医療機器分野において、サイバーセキュリティは世界中の規制当局が重視する共通課題となっています。一般的に規制当局は、医療機器のライフサイクル全体を通じて、機器の用途やリスクに見合ったサイバーセキュリティ対策が確実に考慮されていることを求めています。これは設計段階だけでなく、市販後の運用や更新、脆弱性対応まで含めた包括的な管理を意味します。 

米国における参照すべきサイバーセキュリティに関する規格は、主だったものでもIEC 81001-5-1を含む15ものAAMI規格、ANSI/AAMI規格ANSI/UL規格、IEC規格などの国内外の規格があり、また、複数のガイダンス文書が発行されており、サイバーセキュリティへの適合に関してより複雑に感じられます。 

サイバーセキュリティに関するリスクマネジメントは、通常の医療機器リスクマネジメントに用いられるISO 14971と比較して、追加的な事項を含みます。ISO 14971では、ハザードの特定、発生確率、発生時の重篤度を評価しますが、サイバーセキュリティではこれに加えて、ソフトウェアが利用・保存する情報資産、情報にアクセスする可能性のある脅威アクター、使用環境による不正アクセスの可能性などを考慮する必要があります。これらを踏まえて攻撃発生の可能性を評価したものが脅威モデルです。また、患者や使用者への安全リスクだけでなく、個人の健康情報（PHI）の漏えいリスクも評価対象に含める必要があります。AAMI TIR 57やANSI/AAMI SW 96は、こうしたサイバーセキュリティ特有のリスクマネジメントを詳細に解説しています。 

このような基本的な考え方は多くの規制当局で共通していますが、FDAは他の規制当局と比べて、サイバーセキュリティに関する要求内容が明確に高いという点が大きな特徴です。FDAと他の規制当局の違いは、主に二つの観点から整理できます。第一に、サイバーセキュリティ評価が必要とされる医療機器の範囲が非常に広いことです。第二に、提出を求められる情報の量と深さが、他国規制当局よりも厳格であることです。 

まず、どのような医療機器がサイバーセキュリティ評価の対象となるかという点で、FDAは他の規制当局よりも広い解釈を採っています。多くの規制当局では、ネットワークへの接続を意図している、または容易に接続できる医療機器についてサイバーセキュリティ評価を要求します。例えば、サービス用途限定のUSBポートで、認証キーや専用工具がなければ物理的にアクセスできない場合、サイバーセキュリティ要件に適合すると判断されることが一般的です。しかしFDAは、ネットワークに接続するように意図しておらず、ネットワーク接続を行わないように処置を施したものであっても、ネットワーク接続の可能性がある機器であれば、詳細な分析と試験によってサイバーセキュリティを実証することを要求します。この結果、FDAでは他の規制当局よりも多くの医療機器がサイバーセキュリティ評価の対象となります。 

次に、要求される情報の内容についてもFDAは非常に詳細です。FDAはサイバーセキュリティに関する複数のガイダンス文書を発行しており、市販ソフトウェア（OTS）の使用、上市前の評価を含めたトータルライフサイクルをカバーしています。FDAはガイダンスへの適合を推奨していますが、特にAAMI TIR 57やANSI/AAMI SW 96をサイバーセキュリティに関するリスク評価の基準に位置付けており、これらの規格を考慮する必要があります。 

FDAが求める具体的な提出資料には、サイバーセキュリティリスクマネジメント報告書、脅威モデル、SBOM（ソフトウェア部品表）、既知の脆弱性評価、第三者ソフトウェア管理、相互運用機器の分析、詳細なアーキテクチャ図、サイバーセキュリティ統制の定義が含まれます。さらに、脆弱性スキャン、静的・動的コード解析、ペネトレーションテストなど、多面的かつ実践的な試験の実施が要求されています。加えて、市販後の脆弱性監視、パッチ提供計画、情報開示プロセスまで含めた包括的なサイバーセキュリティ管理計画も必須とされています。 

このように、FDAは「どの機器が対象になるか」という点でも、「何をどこまで示さなければならないか」という点でも、他の規制当局と比べて最も厳格な要求を課しているといえます。そのため、他の地域で既に承認を取得した医療機器であっても、FDAへの申請では追加の評価や試験が必要となるケースが少なくありません。メーカーにとっては、FDAのサイバーセキュリティ要求を事前に正しく理解し、早期から対応することが、申請後の取り下げリスクを低減するうえで極めて重要です。 

【略語一覧】
FDA：米国食品医薬品局（Food and Drug Administration） 
ISO：国際標準化機構（International Organization for Standardization） 
AAMI：医療機器振興協会（Association for the Advancement of Medical Instrumentation） 
ANSI：米国規格協会（American National Standards Institute） 
TIR：技術情報報告書（Technical Information Report） 
PHI：個人健康情報（Protected Health Information） 
OTS：市販ソフトウェア（Off-The-Shelf Software） T
PLC：トータル・プロダクト・ライフサイクル（Total Product Life Cycle） 
SBOM：ソフトウェア部品表（Software Bill of Materials） 
ISO 14971：医療機器リスクマネジメント規格（ISO 14971: Medical Devices — Application of Risk Management） 

【キーワード】
FDA / CDRH / PHI / TIR/ NIST / AAMI / IEC / UL / SaMD / ISO / SBOM / AAMI TIR 57 / ANSI/AAMI SW 96 

• リリース元を見る