IMDRFガイダンスについて
IoTやAI、ICT技術を始めとするデジタル技術とデータの活用が進む現代、医療業界でもこれらのテクノロジーを活用した医療技術の誕生や医療データの連携の取り組みが進み、医療機関では最新の医療機器が多く使用されています。一方で、医療機関を狙ったサイバー攻撃等の事例も多く報じられており、医療機器を起因とした事例も見られます。
医療機器に関連したセキュリティガイダンスは、これまで各国が公表していましたが、2020年、IMDRF(国際医療機器規制当局フォーラム)が医療機器のセキュリティガイダンスとして「医療機器サイバーセキュリティの原則及び実践(IMDRFガイダンス)」を公表しました。医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスとして今後の各国の規制要件への取り込みや参照が想定されたこともあり、各国で関心が向けられました。
日本でも、厚生労働省がIMDRFガイダンスを日本に導入することを発表し、検討を進めていました。2021年には、IMDRFガイダンスの技術基準などを明確化した、医療機器製造販売業者向けの「医療機器のサイバーセキュリティ導入に関する手引書(以下、手引書)」を発表し、これらを踏まえた以下3つの観点が2023年4月から薬機法(「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」)の医療機器基本要件基準に盛り込まれました。
- 製品の全ライフサイクルに渡って医療機器サイバーセキュリティを検討する計画を備えること
- サイバーリスクを低減する設計及び製造を備えること
- 適切な動作環境に必要となるハードウェア、ネットワーク、IT セキュリティ対策の最低限の要件を設定すること
IMDRFガイダンス及び手引書では、患者への危害が発生する可能性のあるセキュリティリスクに限定し、製品のライフサイクル全体に沿って多方面からのセキュリティ対策要件が整理されています。