現代のサイバーセキュリティ対応は医療機器をはじめあらゆる分野において必須です。
医療機器のセキュリティ対策は、患者の安全を守り、データプライバシーを確保し、規制を遵守し、サイバーセキュリティの脅威から守り、機器の完全性を維持し、相互運用性をサポートし、技術革新を促進し、事故対応と復旧を強化するために必要です。
対策をすることにより、サイバーセキュリティの脅威から守り、機器の完全性を維持し、事故対応と復旧の強化にもつながります。コネクテッド化、デジタル化が進む医療環境において、サイバーセキュリティ対策は、医療機器を安全かつ効果的に運用するために極めて重要です。
サイバーセキュリティ対策が必須に
厚生労働省は2023年3月31日、医療機器に対する厳格なサイバーセキュリティ対策の実施を発表し([1]:薬生機審発0331第8号)、JIS T 81001-5-1:2023が2024年4月1日から12ヵ月の移行期間を経て施行されました。これに基づき、薬機法における医療機器の基本要件基準が改訂され、ライフサイクル全体においてサイバーセキュリティ対応が必須となっています。具体的には、医療機器基本要件基準第12条「プログラムを用いた医療機器に対する配慮」の第3項が追記されました([2] 薬生機審発0523 第1号)。
第12条第3項[3]は、必要なセキュリティライフサイクルの要求事項を概説し、JIS T 81001-5-1:2023(「ヘルスソフトウェアおよびヘルスシステムの安全性、有効性およびセキュリティ-第5-1部:セキュリティ- 製品ライフサイクルにおけるアクティビティ」)の該当部分への適合を必須要件としています。JIS T 81001-5-1:2023またはIEC 81001-5-1:2021への適合性を確認することで、十分なサイバーセキュリティライフサイクル活動を確保することができます。
第12条第3項では、医療機器に組み込まれているか、独立したソフトウェア機器(SaMD: Software as Medical Device)であるかというソフトウェアの位置による区別はありません。このような医療機器の製造者および製造販売業者は、規制の要求事項を遵守するための十分な証拠を保持することが期待されます。これはさらに、ソフトウェアやSaMDを組み込んだレガシー製品で、すでに日本で上市されているものも含まれます。
国内外の対応は
国内ではJIS T 81001-5-1への準拠が求められています。この規格は、医療機器のセキュリティライフサイクルマネジメン トの調和を図るため、他の国際的な規制当局によって承認されている国際規格 IEC 81001-5-1:2021 に基づくものです。(例えば、FDAはこの規格をコンセンサス規格として承認し[5]、EU委員会の実施決定[6]に従ってEU医療機器規制の下で整合化されることが期待されています。)
JIS T 81001-5-1の要求事項は、JIS T 2304「ソフトウェアライフサイクルプロセス」[4]と統合するように開発されています。要求事項には、例えば、開発段階から製品の廃止までの各製品に対する包括的なサイバーセキュリティライフサイクルプログラムの実施、セキュリティリスク管理、脆弱性の適時評価と規制当局への報告、セキュリティテスト、セキュリティに関するソフトウェア構成と保守プログラム、更新とパッチポリシーなどが含まれます。
医療機器製造業が直面している重要な課題の一つは、米国のFDA、欧州のEU MDR/IVDR、日本のPMDAなど、それぞれの市場に応じて必要なセキュリティテストの範囲と要件を特定することです。IEC 81001-5-1が普及し、規制当局がこの規格に準拠することの重要性を支持する一方で、適切な資格を有する者による必要なセキュリティ試験に適切に対応し、医療機器のライフサイクルに積極的に組み込むことは、製造業者の責任です。
すでにIEC 62304、ISO 14971で医療機器ソフトウェアライフサイクル全体を通じて、適切なリスクマネジメントを実施されている場合、準備されているドキュメントやプロセスを活用し、「セキュリティ」に関して必要なアクティビティを追加することで、IEC 81001-5-1への対応が容易になる可能性もあります。
これから取り組む企業や、取り組みをスタートした企業は、規格を十分に理解し早目に進めることが重要になります。
IEC 81001-5-1 / JIS T 81001-5-1適合のキーポイント
重要なポイントを理解し、慎重に取り組むことで、信頼ある安全で品質が確保できた製品を市場に出すことに繋がります。製品のライフサイクルの中でセキュリティに積極的に取り組み、特に開発、試験、リスク管理などの各業務に有資格者が継続的に関与するようにすることで、導入成功への道を開くことができるでしょう。IEC 81001-5-1 / JIS T 81001-5-1への適合は、医療機器の安全性を確保しつつ、サイバーセキュリティに関するリスクを低減し、患者へのリスクを最小限に抑え、拡大の防止につなげる、重要なアクションです。
出典:
[1] 薬生機審発0331第8号: https://www.mhlw.go.jp/content/11120000/001167157.pdf
[2] 薬生機審発0523 第1号: https://www.pmda.go.jp/files/000252724.pdf
[3] 厚生労働省 医療機器におけるサイバーセキュリティについて https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00009.html
[4] 医療機器のサイバーセキュリティ要件に対する JIS T 81001-5-1の適用について https://www.pmda.go.jp/files/000267353.pdf
[5] FDA Consensus Standards: https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfStandards/detail.cfm?standard__identification_no=43889
[6] EU COMMISSION IMPLEMENTING DECISION - C(2024)3371 – Standardisation request M/575 Amd 2: https://ec.europa.eu/growth/tools-databases/enorm/mandate/575Amd2_en
[7] IMDRF N60:2020: 医療機器サイバーセキュリティの原則及び実践 (2020-03-18): https://dmd.nihs.go.jp/cybersecurity/IMDRF_Guidance_Japanese_version.pdf
テュフ ラインランドの医療機器サイバーセキュリティサービス
テュフ ラインランドは、医療機器部門の専門家と、サイバーセキュリティ技術に精通した専門家が協働することにより、医療機器が使われる環境、薬事申請、品質保証にかかわる法規制や使い勝手を十分に考慮した、サイバーセキュリティのテストを実施しています。 詳しくはこちらをご覧いただくか、以下よりお問い合わせください。 |
オンラインセミナー 9月27日(金)開催サイバーセキュリティ対応 IEC 81001-5-1 研修(3時間コース) オンラインセミナー 8月27日(火)開催 |
関連情報
テュフ ラインランドでは、EU規制や各国の要求事項に対応した評価・認証サービスを提供します。
グローバルに認知されたテュフ ラインランドのサービスを活用いただくことで、貴社製品の品質と安全性に対する信頼性の向上確保することが可能です。
ぜひお問い合わせください。
公式ブログ|リバーフィールド SaroaサージカルシステムにIEC 81001-5-1の適合性評価レポートを発行
ウェブサイト | 欧州医療機器規則 (MDR)2017/745
ウェブサイト | IVDR 体外診断用医療機器規則
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 8/20/2024