サイバーセキュリティ規制対応

ネットワーク接続型医療機器のサイバー攻撃からの安全性を強化することは、病院経営者、ヘルスケア事業者、医療機器開発業者や製造業者など、業界に属する全員が共有する責任です。 機器開発業者、製造業者は特に、規制要件を遵守し、患者個人のデータ保護、および患者安全の確保に努めなくてはなりません。 開発段階だけでなく、製品の耐用年数にわたって製品に伴うサイバーセキュリティリスクを徹底的に検証する必要があります。

世界中で、規制当局がサイバーセキュリティやデータプライバシーに関する規則を制定し始めています。IoTヘルス機器は安全で効果があるだけでなく、セキュリティが確保されていることも求められます。

  • 米国: FDAは、サイバーセキュリティに関する市販前、市販後要件を詳細に記したガイダンス文書をいくつか発行しています。 それに加えて、製品のタイプ、扱うデータのタイプ、事業者の役割などによっては、直接的(法律上で)または間接的に(商業上で)、HIPAA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)の考慮が必要となる場合があります。
  • 欧州連合: EU一般データ保護規則(GDPR)2016/679、NIS指令2016/1148、医療機器規則(MDR)2017/745、体外診断用医療機器規則(IVDR)2017/746に、サイバーセキュリティ関連の要件が含まれています。 製品のタイプ、扱うデータのタイプ、事業者の役割などによって、直接的(法律上)または間接的(商業上)にこれらの規則を考慮する必要があります。
  • カナダ: カナダ保健省は、すべてのリスクレベルの医療機器に対し、サイバーセキュリティに関する市販前要件ガイダンスを発行しています。
  • オーストラリア: オーストラリア薬品・医薬品行政局(TGA)は、すべてのリスククラスの医療機器に関して、業界とユーザーの両方を対象としたサイバーセキュリティガイダンスを発行しています。
  • 韓国: 韓国食品医薬品安全省(MFDS)は、米国FDAのガイダンスや勧告を基にした医療機器サイバーセキュリティリスクマネジメントのガイダンスを発行しています。
  • 中国: 国家薬品監督管理局(NMPA)は、スタンドアロンの医療機器ソフトウェア向けのドラフトガイダンスを発行しました。この中にサイバーセキュリティ要件が含まれています。

Emergo by ULはサイバーセキュリティ、データプライバシー、相互接続性に関するリスクへ対処するためのサポートを提供いたします。 プライベートワークショップ、組織内の基盤づくり、規制への適合状況を開発の初期段階で発見するためのギャップ分析、規制当局への申請に関するコンサルティングサービス、サイバーセキュリティ要求事項への対応など、ご要望に応じてサポートが可能です。

Emergo by ULのサービス:

  • トレーニングによる組織内のサイバーセキュリティ対応力強化
  • 規制当局のサイバーセキュリティ要求事項解説
  • サイバーセキュリティを考慮した製品設計インプットの提供
  • 部門内のサイバーセキュリティプロセスに関するアドバイス

FDA申請とサイバーセキュリティ要求事項に関するコンサルティング

以下のレビュー、評価、推奨事項の提示、作成を行います。

  • 米国FDA 市販前申請パッケージ
  • リスクマネジメント方針
  • 設計、開発、メンテナンスで実施されるリスクアセスメント手法
  • 品質マネジメントシステム
  • 製品およびシステムの開発プロセス

以下に関するテンプレート、トレーニング、業界ベストプラクティス、およびガイドを提供します。

  • サイバーセキュリティマネジメントプラン
  • ハザード分析と低減策
  • 組織の成熟度評価とプランニング
  • サプライチェーンコントロール、手順
  • リスクマネジメント方針、手順
  • リスクアセスメント表