市販前提出のサイバーセキュリティ関連コンテンツに関する FDA

目次

この文書の最新版は 2014 年 XNUMX 月に発行されました。その法的性質により、FDA ガイダンス自体は要件を導入していませんが、関係者が考慮すべき追加の説明と推奨事項を提供しています。さらに、当局は、そのようなアプローチがそれぞれの規制要件に準拠し、当局によって事前に承認されている場合には、代替アプローチを適用することができると述べています。また、FDA は、適用される法律の修正を反映するために合理的に必要であるとみなされる場合、そこに記載されている推奨事項を変更する権利を留保します。

規制の背景 

当庁は、米国市場に投入される医療機器に関連するサイバーセキュリティ問題の重要性が高まっていることを認識しています。現在、通常の動作を確保するためにローカル ネットワークやグローバル ネットワークへの接続を必要とする医療機器が増えています。多くの医療機器は、本質的に機密性の高い患者関連情報の交換にも関与しています。したがって、そのような装置の使用が患者に不当なリスクをもたらさないようにすることが重要です。医療機器メーカーやその他の関係者がサイバーセキュリティ問題に関連する潜在的なリスクを特定するのを支援するために、FDA は、開発から市販後までの製品ライフサイクルのすべての段階で考慮すべき最も重要な側面を強調した現在のガイダンスを発行しました。メンテナンス。この文書では、医療機器メーカーが製品の販売承認を申請する際に提供する情報に関する規制要件についても、さらに明確にしています。 

現在の FDA ガイダンスの範囲には、サイバーセキュリティ関連事項に関して市販前提出物に含めるべき情報が含まれています。文書によると、 効果的なサイバーセキュリティ管理は、不適切なサイバーセキュリティによってデバイスの機能が意図的または非意図的に侵害される可能性を減らすことで、患者のリスクを軽減することを目的としています。 

このガイダンスで提供されている推奨事項は、次のようなタイプの市販前申請に適用できます。

まず、FDA は、サイバーセキュリティ関連の問題で使用される最も重要な用語と概念の定義を提供しています。これには次のようなものがあります。

• 認証 – デバイス、そのデータ、情報、またはシステムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの身元を確認する行為。
• サイバーセキュリティ - 不正なアクセス、変更、誤用、または使用の拒否、または医療機器から外部受信者に保存、アクセス、または転送される情報の不正使用を防止するプロセス。 
• 暗号化– データを知られたり使用されたりするのを防ぐために、データの元の意味を隠す形式にデータを暗号的に変換すること。 

基本原則 

このガイダンスには、現在の規制アプローチの基礎となる一般原則がさらに説明されています。この文書によると、医療機器メーカーは、医療機器がサイバーセキュリティの観点から適用される規制要件を満たし、安全かつ効率的に動作することを保証するために必要な対策と管理に責任を負う必要があります。 

ただし、当局は、医療機器のサイバーセキュリティは一般に、関係者全員が共同の責任を負うべきであることを認めています。潜在的なサイバーセキュリティの問題は、医療機器の通常の動作に影響を与え、データの損失や患者の健康への害を引き起こす可能性があります。 

サイバーセキュリティ問題は重要であるため、医療機器メーカーは最初の開発段階からサイバーセキュリティ問題を考慮する必要があります。これにより、そのようなリスクが最も効率的に軽減されます。特に、当局は次のように述べています。 メーカーは、サイバーセキュリティに関連するデバイスの設計入力を確立し、21 CFR 820.30(g) で要求されるソフトウェア検証とリスク分析の一環としてサイバーセキュリティの脆弱性と管理アプローチを確立する必要があります。 

医療機器メーカーが採用するサイバーセキュリティ管理アプローチは、次の側面をカバーする必要があります。 

• 既存および潜在的なサイバーセキュリティの問題および脆弱性の特定。
• 前述の脆弱性がデバイス自体の動作および患者の健康と安全に潜在的に引き起こす可能性のある影響の分析。
• そのような脆弱性に関連する問題の予想される可能性の評価。
• リスクレベルの特定、そのようなリスクを軽減するために適用できる戦略とアプローチの決定。
• サイバーセキュリティに関連する残留リスクとリスク許容基準の評価。 

主要なサイバーセキュリティ機能 

医療機器メーカーによる上記の原則の実装を支援するために、このガイダンスでは、サイバーセキュリティに関連する特定の機能に関する推奨事項を提供しています。

• 識別する、 
• 守る、
• 検出する、
• 応答して、
• 回復します。  

この文書ではさらに、これらの各機能と、医療機器メーカーがそれらを実装する方法について詳しく説明しています。 

1. 識別して保護します。 同庁は、他のデバイス、ローカルまたはグローバルネットワーク、さらにはメディアに接続できる医療機器は、いかなる方法でも接続されていない医療機器とは対照的に、サイバーセキュリティの観点から最も注意が必要であると述べています。適用される特定のサイバーセキュリティ対策と制御は、問題の医療機器の使用目的、使用される環境、特定された脆弱性など、多くの要因によって異なります。これらの脆弱性が悪用される可能性と、患者に危害を及ぼす可能性を含め、それに関連するリスクも考慮する必要があります。同時に、製造業者は、サイバーセキュリティ関連事項に関するデバイスの安全性の確保と製品の一般的な使いやすさとの間の最適なバランスを確立する必要があります。これに関連して、医療機器メーカーは、自社の製品に実装されているセキュリティ機能の正当性を示すことが奨励されています。 

2. 検出、応答、回復。 製造業者は、発生しているセキュリティ問題を検出し、潜在的な用途に必要な情報をすべて提供する機能を開発および導入するものとします。このような情報には、さまざまなサイバーセキュリティ問題が発生した場合の行動が記載されている必要があります。同庁はさらに、製造業者が実装する機能は、サイバーセキュリティの問題が発生した場合でも医療機器の通常の動作を保証するのに十分である必要があると強調している。これとは別に、認証された特権ユーザーがデバイスの構成を回復できる技術的な可能性があるはずです。 

要約すると、現在の FDA ガイダンスは、サイバーセキュリティ問題に関連して医療機器メーカーが考慮すべき最も重要な側面を詳細に説明しています。この文書は、メーカーの主な責任を概説し、医療機器開発プロセスのさまざまな段階で考慮すべきいくつかの推奨事項を提供します。 

ソース：

https://www.fda.gov/media/86174/download 

RegDeskはどのように役立ちますか？

RegDeskは、医療機器およびIVD企業向けの次世代Webベースソフトウェアです。 当社の最先端のプラットフォームは、機械学習を使用して、規制インテリジェンス、アプリケーションの準備、提出、および承認管理をグローバルに提供します。 また、クライアントは、世界中の4000人を超えるコンプライアンス専門家のネットワークにアクセスして、重要な質問の検証を取得できます。 通常、準備に6か月かかるアプリケーションは、RegDesk Dash（TM）を使用して6日以内に準備できるようになりました。 グローバル展開はこれほど単純ではありませんでした。