近年、病院内のイントラネット環境構築が進み、医療機器のサイバーセキュリティの確保が大きな社会的課題となっている。国際医療機器規制当局フォーラム（International Medical DeviceRegulators Forum：IMDRF）では、サイバーセキュリティに関するガイダンス案「医療機器サイバーセキュリティの原則及び実践」が取りまとめられ、2019 年10 月にパブリックコメントが募集された。この作成作業に並行して、各国での対応についても別途ガイダンス化が進んでいる。
　米国では、早期にサイバーセキュリティへの対応が検討され、2017 年にFDA はサイバーセキュリティの市販前ガイダンスを発行し、医療機器製造販売業者にサイバーセキュリティ対策を求めた。その後、カナダ、オーストラリア、フランス等からも自国の考え方に関するガイダンスが公表されている。欧州では、欧州医療機器規則（Medical Device Regulation: MDR）附属書 I の要求事項の中で IT セキュリティの記載があり、その適合性評価のための欧州整合規格を想定したIEC/ISO 80001-5-1 規格策定作業が進められている。当該規格では、IEC 62304 で要求されているSOUP の管理をより効果的に行うことを目的に、ソフトウェア部品表（Software Bill of Materials:SBOM）を利用したソフトウェア資産管理の仕組みの構築に向けた議論が進んでいる。
　従来の医療機器におけるリスクマネジメントの考え方ではサイバーセキュリティへの対応が難しく、別途AAMI TIR 57 による解釈が加えられてきたが、2019 年12 月にISO 14971 の第3 版が発行され、これに伴い改訂されたISO/TR 24971 ではリスクマネジメントの視点でサイバーセキュリティの考え方が提示されている。
　本ページでは、IMDRF のガイダンスを理解する上で必要な基本的事項、各国のガイダンス及び国際規格の動向を調査結果としてまとめ、IMDRF のガイダンス案の邦訳版、さらに、平成30 年7 月24 日付け薬生機審発0724 第1 号・薬生安発0724 第1 号厚生労働省医薬食品局医療機器審査管理課長・医薬安全対策課長連名通知別添「医療機器におけるサイバーセキュリティの確保に関するガイダンス」 との比較表を取りまとめた報告書を掲載している。また、IMDRFガイダンス並びに邦訳版も個別に掲載した。今後、国内の医療機器規制においても国際整合化が図られることが予測されるため、本ページに記載されている情報を参考とされたい。

令和2年5月11日
国立医薬品食品衛生研究所
医療機器部　蓜島由二

新しいページが開きます

（医療機器部トップページへ）
Last Updated 2020/05/11
Copyright(C)　医療機器部（無断転載を禁じます）