公開日12 May 2023
最小読み取り時間
Views
医療サイバーセキュリティの現状は流動的である。サイバー犯罪の未遂や成功の件数や程度が増加し続けていることを考えると、医療機関や医療機器メーカー は今日、強固な脆弱性管理とインシデント報告プロセスを備えていなければならない。結局のところ、病院や診療所で使用される医療機器のサイバー上の欠陥が対処されていないことは、安全でないドアが侵入者、この場合はサイバー犯罪者を招いているのと同じである。
2023年初頭、米国包括歳出法案が承認され、米国食品医薬品局(FDA)に医療機器のサイバーセキュリティを規制する資金と法的能力が付与された。
医療機器のセキュリティ要件に具体的に対処する法律は存在しないため、これは医療機器のセキュリティにおける新たなフロンティアとなる。その代わりに、各医療OEMは、FDAが提供するガイダンスに基づいて、自社の機器(サポートシステム)のサイバーセキュリティをどのように管理し、提供するかについて、独自の方針と手順を持っている。
これらの対策が適切である場合もあるが、ほとんどの場合、サイバー脆弱性は存続している。
製造業者は、サイバーセキュリティを機器に組み込んだ安全な製品開発の枠組みを導入しなければならない。これが意味するのは、「セキュア・バイ・デザイン」の原則を採用することであり、サイバーセキュリティを不可欠な要素として機器の安全性と有効性を確保し、さらに製品リリース後に将来発見される可能性のある脆弱性を追跡するプロセスを可能にすることである。
2023年3月に署名されたオムニバス法案は、定義されたサイバーセキュリティ要件を、ソフトウェアを含み、インターネットに接続する可能性があり、サイバー脅威にさらされる可能性があるすべての医療機器が満たさなければならないとしている。
FDAの2022年4月の勧告に基づき、製造業者が提供しなければならない証拠に関してFDAが期待することがまとめられている。その条項の通り、医療機器の新規承認申請は、以下の事項を遵守しなければならない:
セクション 524B - a
市販後のサイバーセキュリティの脆弱性を監視し、特定し、(合理的な時間内に)対処する計画の提出に関するもので、脆弱性の開示および関連する手順を含む。
セクション 524B - b
機器および関連システムがサイバーセキュアであることを保証し、機器/関連システムに対する市販後の更新およびパッチを利用可能にするためのプロセスおよび手順の設計、開発、および維持。これには、SBOM(ソフトウェア部品表) - 商用、OTS/オープンソースソフトウェアコンポーネントが含まれる。
セクション 524B - c
機器として、または機器に搭載されるソフトウェアとして、治験依頼者によって検証され、 インストールされ、または承認されたソフトウェア。これには、サイバーセキュリティの脅威に対して脆弱である可能性のある、スポンサーによって検証され、インストールされた技術的特性が含まれる。
連邦登記簿には、サイバーセキュリティ要件への適合が免除される、特定された機器/機器のカテゴリーが記載されている。
提案された変更は、2023年4月1日に、医療機器OEMがFDAに新規に提出するすべての機器に適用される。
オムニバス法案発効後、FDAにサイバー対応医療機器を提出する者は、以下のことが要求される:
- 調整された脆弱性の開示と関連手順を含む、市販後のサイバーセキュリティの悪用と脆弱性を適時に追跡、認識、緩和する計画をFDA長官に提出すること;
- 機器と関連システムがサイバーセキュアであることを正当化できるレベルの保証を与えるプロセスと手順を設計、作成、維持し、機器と関連システムの市販後のアップデートとパッチを対応できるようにすること:
- 既知の許容できない脆弱性を正当化可能な定期的サイクルで対応すること;
- 重大な脆弱性については、サイクル終了後、可能な限り速やかに対応すること。
- 市販、オープンソース、既製のソフトウェアコンポーネントを含むソフトウェア部品表をFDA長官に提出すること。
したがって、医療機器製造業者として、改訂された状況は、製品ライフサイクル全体を通じて堅牢なサイバーセキュリティ機能を提供する新たな機会を提供する。法定要件を満たすだけでなく、顧客からの信頼と信用を高め、市場で新たな価値を引き出すことにもつながる。
この法律が施行されることで、医療機器業界全体が活性化され、安全なサイバー環境の台頭を目の当たりにすることになるだろう。
