「医療機器のサイバーセキュリティ: 品質システムの考慮事項と市販前申請の内容 | FDA」は、FDA が作成した新しい文書で、医療機器の品質システム管理および市販前申請プロセスにサイバーセキュリティを統合するためのガイダンスを提供します。
潜在的なサイバー脅威に直面した場合に医療機器の安全性、有効性、セキュリティを確保するためのリスク管理、設計管理、ソフトウェア検証、その他の要素を網羅しています。
この文書の目的は、設計、開発、テスト、監視、メンテナンスを含むデバイス ソフトウェアのあらゆる側面でサイバーセキュリティを考慮する必要性をデバイス メーカーに伝えることです。この文書の重要な概念は、「トータル製品ライフサイクル」の計画です。 FDA は、通常であれば HIPAA やデバイス顧客に委ねられるサイバーセキュリティの多くの側面を取り込みました。現在、デバイス メーカーには、開発段階の初めから安全なソフトウェアの実践を統合し、デバイスの安全性を維持する方法を文書を通じて示すことが義務付けられています。
サイバーセキュリティとは何ですか?
NIST (国立標準技術研究所) には、さまざまな問題に特化したページ全体があります。 サイバーセキュリティの定義.
NIST はサイバーセキュリティをコンピュータ セキュリティの同義語とみなしています【1]。それは、「コンピュータによって処理および保存される情報の機密性、完全性、および可用性を確保するための措置と管理」です。【2] また、「これらのシステムの機密性、完全性、可用性を強化するために、電子情報通信システムおよびそこに含まれる情報への損害、不正使用、悪用を防止し、必要に応じて修復すること」でもあります。 」【3]
医療機器に拡張すると、サイバーセキュリティはユーザーと患者の安全を包含します。 11 ページの FDA ガイダンスに記載されているように、「セキュリティ リスク管理プロセスの範囲と目的は、他の SPDF プロセス (セキュリティ テストなど) と組み合わせて、脅威が脆弱性を通じてどのように患者に危害やその他の被害をもたらすかを明らかにすることです。」潜在的なリスク。」以下の図 1 は、サイバーセキュリティ リスクと安全性リスクの関係を示しています。
サイバーセキュリティのリスクを管理する方法
FDA ガイダンスは、サイバーセキュリティ リスクを管理する 1 つの方法として、「安全な製品開発フレームワーク」 (SPDF) と呼ばれるものを使用することを提案しています。 SPDF は基本的に、デバイスの耐用年数全体にわたるサイバーセキュリティの脅威と緩和策を特定するための計画です。デバイス メーカーは、ソフトウェアを備えたデバイスの開発および保守方法を管理する主要な品質管理システム (QMS) の一部として SPDF を実装する必要があります。
このプロセスは次のステップに要約できます。
- 脅威を特定する
- リスクを文書化して評価する
- 緩和策を文書化して実装する
- 緩和策をテストして検証する
- そして最後に、新しい脅威がないかデバイスとデバイス空間を監視します。
これらのステップの成果と将来に向けた手順の実施は、FDA がすべての新しい規制申請に必要とするインプットとなります。プロセスのステップは簡単に特定できますが、SPDF の実装は決して簡単ではありません。
SPDF についてさらに詳しく
安全な製品開発フレームワークは、電子医療機器またはソフトウェアを備えた医療機器の開発に使用される QMS の標準部分となる必要があります。デバイスには SPDF やサイバーセキュリティの考慮事項が必要ないと主張したくなりますが、これは間違いです。 SPDF の最初のステップの多く、つまり脅威の特定とサイバーセキュリティ リスク分析を実行するまで、デバイスにサイバーセキュリティ リスクが存在しないことを FDA に証明する方法はありません。 FDA が USB ポートまたは潜在的なネットワーク ポート (パネルの背後にある!) を指定するだけで安全であると思い込み、サイバーセキュリティに関する文書の欠如を理由に申請を拒否したという他のメーカーの話をすでに聞いています。デバイスがインターネットに接続していないからといって、脅威アクターがシステムの一部を悪用できないわけではありません。デバイスが安全であることを証明する唯一の方法は、デバイスのライフサイクルの最初から SPDF を実装し、脅威やリスクがないことを文書化することです。
サイバーセキュリティリスク管理
当社のソフトウェア チームは、多くのサイバーセキュリティ専門家、侵入テスト会社、FDA コンサルタントと協力して、当社が開発するデバイスが医療機器に関する FDA サイバーセキュリティ文書要件を満たしていることを確認します。デバイス開発者は、新しい FDA ガイダンスを取り入れ、コンプライアンスを支援する新しいプロセスと、FDA を満足させるために必要な出力を生成するための新しいツールを作成する必要があります。これは小さな取り組みではありません。私たちはこれらのシステムを立ち上げるのにかなりの時間と労力を費やしてきました。脆弱性の検出とレポートが自動化されているため、この取り組みはお客様に成果をもたらしています。
StarFish Medical がサイバーセキュリティ規制順守にどのように役立つかについて詳しく知りたい場合は、次の URL までお問い合わせください。 当社の事業開発グループにお問い合わせください。堅牢で安全な医療機器の開発に Starfish がどのように役立つかについて、喜んで話し合います。
【1] https://csrc.nist.gov/glossary/term/cybersecurity
【2] https://www.cnss.gov/CNSS/issuances/Instructions.cfm
【3] https://doi.org/10.6028/NIST.IR.8074v2
イメージ: FDA
ラッセル・ヘイリーはStarFish Medicalの社員です シニアソフトウェアエンジニア。彼は、Wi-Fi、Bluetooth、MICS (埋め込み型) 無線を介してデータを収集し、海洋ブイ、金融機関、旅客列車からの重要な記録をクラウドに保存する IoT システムの設計で 20 年以上のスタートアップ経験を持つソフトウェアと IT のベテランです。そして最近では医療機器も。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://starfishmedical.com/blog/fda-guidance-medical-device-cybersecurity/
