サイバーセキュリティは医療機器の全体的な安全性を確保する上で重要な要素となっており、医療機器業界は世界で最も規制が厳しい業界の 1 つとなっています。
どうして?
医療機器の進化は、FDAが初めて医療機器の規制を開始した1976年に始まりました。 規制するそれ以来、科学の進歩により、業界は機械装置からクラウドに接続された最新の装置へと変化しました。たとえば、2009年以前は、ペースメーカーを調整するには、医師が患者の体内の装置にアクセスするために手術を行う必要がありました。今日では、ワイヤレス対応の最新のペースメーカーにより、医療従事者は 患者の心拍リズムを遠隔で監視する 必要に応じてペースメーカーの設定を調整することで、頻繁な対面診察の必要性が大幅に軽減されます。
FDAは、絶えず変化する医療技術の状況に対応するために規制を適応させるのが遅かった。例えば、 20172010 年、ワイヤレス ペースメーカーは重大なサイバー セキュリティの脆弱性によりリコールに直面しました。これらの脆弱性により、潜在的なハッカーがデバイスにリモート アクセスして操作できるようになり、ペース設定の変更やバッテリーの消耗によって患者に危害を及ぼす可能性があります。このリコールは 50 万台近くのペースメーカーに影響を及ぼし、メーカーの評判と収益に深刻なダメージを与え、最も重要なことに、人命に重大な脅威をもたらしました。
FDA 市販前サイバーセキュリティ
法律で定められている – 市販前申請におけるサイバーセキュリティ情報
貴社では「サイバーデバイス」を製造していますか? 連邦食品・医薬品・化粧品法(FD&C法)の最近の改正により、「サイバーデバイス」の医療機器サイバーセキュリティに関する新しいセクションが追加されました。デバイスがインターネットに接続するソフトウェアを使用している場合、そのデバイスはサイバーデバイスと見なされ、FD&C法の新しいセクション524Bの対象になる可能性が高くなります。この規定は29年2023月XNUMX日から有効になっています。
長年にわたり、 FDA FDA は医療機器の機能に対するサイバーセキュリティの脅威を軽減するための取り組みを拡大してきましたが、FD&C 法のセクション 524B が制定されるまでは FDA の推奨事項は法律に制定されていませんでした。FDA が市販前申請でサイバーセキュリティ情報を要求するための主なツールは、ガイダンス文書でした。
議会は、FDA に「サイバーデバイス」の市販前申請においてデバイスメーカーにサイバーセキュリティ情報の提供を要求する権限を与えました。セクション 524B(a) は次のように規定しています。
「510(k)、513、515(c)、515(f)、または520(m)[すなわち、510(k)、市販前承認申請(PMA)、製品開発プロトコル(PDP)、De Novo、または人道的医療機器免除(HDE)]の規定を満たす医療機器の申請または提出を行う者。 この条項に基づくサイバーデバイスの定義には、[FDA] が当該サイバーデバイスがサイバーセキュリティ要件を満たしていることを確認するために要求する情報が含まれるものとする…」
サイバーデバイスの定義
セクション524B(c)では、「サイバーデバイス」を次のようなデバイスと定義しています。
「(1)スポンサーによってデバイスとして、またはデバイス内で検証、インストール、または承認されたソフトウェアを含むこと。」
(2)インターネットに接続できる能力を有すること
(3)スポンサーによって検証、導入、または承認された、サイバーセキュリティの脅威に対して脆弱となる可能性のある技術的特性を含む。」
この文脈における技術的特性には、監視機能、刺激パラメータ、医療提供者との通信など、幅広いデバイス機能が含まれる場合があります。これは、ソフトウェアが医療機器 (SaMD) であるか、ソフトウェアが従来のハードウェア デバイス (SiMD) に組み込まれているかに関係なく適用されます。
新たな要件
セクション524B(b)では、サイバーデバイスの市販前申請において製造業者に以下の情報を提供することを義務付けています。
「(1)協調的な脆弱性開示および関連手続きを含む、市販後のサイバーセキュリティの脆弱性および悪用を適切な時期に監視、特定し、対処するための計画を長官(FDA)に提出する。」
(2)デバイスおよび関連システムがサイバーセキュリティを備えていることを合理的に保証するためのプロセスおよび手順を設計、開発、維持し、デバイスおよび関連システムに市販後のアップデートおよびパッチを提供して、次の事項に対処する。
(A) 合理的に正当化された定期的なサイクルで、容認できない既知の脆弱性。 と
(B)制御不能なリスクを引き起こす可能性のある重大な脆弱性をできるだけ早くサイクルから外す。
(3)市販のソフトウェアコンポーネント、オープンソースのソフトウェアコンポーネント、既製のソフトウェアコンポーネントを含むソフトウェア部品表を長官(FDA)に提出する。」
FDA は、デバイスおよび関連システムがサイバーセキュリティで保護されていることを合理的に保証するためのその他の要件を定めた規制を発行する場合もあります。
FDA 市販後サイバーセキュリティ: サイバーセキュリティ監視計画
FDA の拡大された規制権限には、医療機器メーカーの市販後監視計画を評価し、承認した機器の安全性と有効性を継続的に確保することが含まれます。現在施行されている規制では、市販後の機器管理の一環として、サイバーセキュリティの脆弱性を継続的に監視、特定、修復することの重要性を強調しています。
よくある質問(FAQ)
メーカーをサポートするために利用できるリソースは何ですか?
2023年のガイダンスでは、 医療機器のサイバーセキュリティ:品質システムに関する考慮事項と市販前の提出物の内容 2016年のガイダンスでは、 医療機器におけるサイバーセキュリティの市販後管理 デバイスが市場に導入された後のサイバーセキュリティ管理に関する推奨事項を説明します。
この法律は遡及的にではなく、将来の医療機器にのみ適用されるのでしょうか?
サイバーセキュリティ要件は、29 年 2023 月 XNUMX 日より前に FDA に提出された申請または提出書類には適用されません。サイバーデバイスが以前に承認されており、製造業者が当局による市販前審査を必要とするデバイスに変更を加える場合、新しい市販前提出書類には法律が適用されます。
510(k) または De Novo 分類リクエストを通じて以前に商用配布が承認された、現在はサイバーではないデバイスにサイバー機能を追加するために、Special 510(k) を提出できますか?
特別 510(k) プログラム ガイダンスでは、閉塞性睡眠時無呼吸症の患者の治療を目的とした二相性陽圧呼吸 (BiPAP) デバイスにワイヤレス制御機能を追加する変更の例を示しています。ガイダンスでは、「BiPAP が許容できるワイヤレス サービス品質、共存性、サイバー セキュリティを備え、意図された使用環境で EMC を維持していることを確認するために、検証と妥当性確認を実施する必要があります」と述べています。ガイダンスでは、このような変更は特別 510(k) で検討できないと結論付けています。その理由は、「FDA が認めた自主的なコンセンサス標準またはメーカーの以前の 510(k) には、この BiPAP のワイヤレス制御の追加を評価する方法を扱った確立された方法が存在しないためです。テスト方法は、デバイスの意図された用途と使用環境に必要なワイヤレス サービス品質によって異なります」。
サイバーセキュリティに関する治験機器免除 (IDE) 申請では、どのような情報を提供する必要がありますか?
FDA は、IDE アプリケーションに含めるべきドキュメントのサブセットのみを推奨しています。これには、(1) インフォームド コンセント フォームの一部としてのサイバー セキュリティ リスク、(2) グローバル、複数患者、および更新可能性/パッチ可能性のビュー、(3) 安全上のリスクを伴う機能 (インプラント プログラミングなど) のセキュリティ ユース ケース ビュー、(4) ソフトウェア部品表、(5) 一般的なラベル付け (接続性と関連する一般的なサイバー セキュリティ リスク、更新可能性/プロセス) が含まれます。
