食品医薬品局(Food and Drug Administration:FDA)は2016年12月27日、医療機器におけるサイバーセキュリティの市販後管理に関し、産業界及びFDA職員向けの最終指針を発表した。医療機器は、医療機関のネットワークや患者の自宅のインターネットサービスなどに接続して使用され、患者のケアにおいて顕著な技術の進歩がみられる一方、機器の性能や機能に影響するようなサイバーセキュリティ障害のリスクや可能性も同時に増大している。このような脅威に対抗するために、機器のライフサイクルを通してサイバーセキュリティを考慮した対応が必要となる。つまり、製造業者は機器の設計・開発の段階から、サイバーセキュリティ管理を組み込む必要があり、さらには、デバイスが市販され、患者による使用が開始された後も、監督を続けることが必要となっている。このような中、今回発表された指針の中で、FDAが製造業者に提案する主要な措置は以下の通り。
- 機器のサイバーセキュリティにおける脆弱性を監督・検知する手段の確保。
- 患者の安全性に脆弱性が及ぼすリスクレベルの理解・検証・検知。
- 潜在的脆弱性に関する情報を受けるために、サイバーセキュリティ研究者を含むステークホルダーと協力するプロセスの構築。
- サイバーセキュリティ問題に早期に対処するための緩和策(ソフトウェアパッチなど)の展開。
なお、本最終指針は、以下よりダウンロード可能。
Final Guidance:Postmarket Management of Cybersecurity in Medical Devices[PDF:1.23MB]
Food and Drug Administration:Managing Medical Device Cybersecurity in the Postmarket: At the Crossroads of Cyber-safety and Advancing Technology
