はじめに
近年、医療機器におけるサイバーセキュリティの重要性がますます高まっています。医療機器がネットワークやソフトウェアと連携するケースが増える中、悪意のある攻撃やシステム障害によるリスク管理は、企業にとって重大な課題となっています。
こうした背景を踏まえ、2024年1月、PMDA(医薬品医療機器総合機構)は「医療機器のサイバーセキュリティに関する質疑応答集(Q&A)」を発行しました。本記事では、このQ&Aの内容をわかりやすく整理し、企業が取るべき対応について解説します。
Q&A発行の背景と目的
医療機器の安全性を担保するうえで、近年では「品質」や「有効性」だけでなく、「サイバーセキュリティ」の観点が欠かせません。特に、以下のような機器が対象となります:
- ネットワーク接続型医療機器(例:遠隔モニタリング機器)
- ソフトウェア搭載型医療機器(例:診断支援AI)
- ワイヤレス通信機能付き機器
これまで、各企業が個別に判断していた部分も多かったサイバーセキュリティ要件について、PMDAが統一的な考え方を示したのが本Q&Aです。
主なポイントと内容
1. サイバーセキュリティ対策の設計段階からの考慮
- サイバーセキュリティは製品設計時点から一貫して考慮する必要があります。
- 脅威モデリングやリスク評価(例:STRIDE手法など)の実施が求められます。
2. 脆弱性情報の管理と対応手続き
- サードパーティソフトウェアの脆弱性に関する情報は常にモニタリングし、更新履歴を記録すること。
- 深刻度に応じて「一部変更申請」や「軽微変更届」などの対応を行う必要があります。
3. 市販後の対応(PMS)
- 市販後に発見されたサイバーリスクに対しては、PMDAやユーザーへの情報提供、是正措置が必須です。
- 既に販売中の機器においても、セキュリティパッチの配布や使用上の注意改訂が求められる場合があります。
4. 添付文書・IFUへの記載事項
- 医療従事者・利用者が理解できる形で、ネットワーク設定やセキュリティ対策の概要を記載する。
- 更新手順やサポート体制に関する記載も重要とされています。
▶ PMDA|医療機器のサイバーセキュリティに関する手引書・Q&A
企業が取るべき対応策
今回のQ&A発行を踏まえ、製造販売業者や製造業者には以下のような実務対応が求められます。
- セキュリティに関するSOP(標準作業手順書)の整備
- 製品ごとの脅威リスク評価書の作成と保管
- 変更管理における「軽微変更」「一部変更」の判断基準の見直し
- 情報システム部門と品質保証部門の連携体制強化
- サプライチェーン(外注ソフト含む)のセキュリティ評価
まとめ
2024年に発行された「医療機器のサイバーセキュリティに関する質疑応答集(Q&A)」は、サイバーセキュリティ対策を実務レベルでどのように構築・運用すべきかを示す、非常に有用な資料です。
医療機器がデジタル化・高度化する中で、今後も企業は法規制の動向をいち早くキャッチし、対応体制を整えることが求められます。
貴社においても、最新のQ&Aを参考にしながら、設計・変更・市販後の各フェーズでのセキュリティ強化を推進していきましょう。