2024年4月1日をもって、薬機法(「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」)に基づく医療機器の新たな基本要件基準(基本要件基準第12条第3項)の経過措置期間が満了しました。
これにより企業は、製造・販売を行う医療機器(すでに製造・販売を行っているものを含む)について当該基準への適合を示すため、JIS T 81001-5-1等への適合性を確認することが必須となります。適合の確認が不十分である場合は、医療機器の上市(販売)が不可になるだけでなく、上市済みの医療機器についても回収措置を求められる等の可能性があります。
本稿では、経過措置期間満了を受けて、企業が当該対応を行うにあたって直面している課題・疑問について解説するとともに、特に重点的な対応が求められる分野について紹介します。
1.医療機器の基本要件基準への適合を示すために実施が必要な事項(文書、体制等)
「医療機器の基本要件基準第12条第3項の適用について」(厚生労働省)によると、製品ライフサイクル全体(Total Product Life Cycle、以下、TPLC)におけるサイバーセキュリティの確保について、JIS T 81001-5-1等への適合性確認をもって、基本要件基準第12条第3項への適合を確認したとみなせるとされています。
ここでは、JIS T 81001-5-1を例にとり、企業において実施が必要と考えられる事項の例を紹介します。まず、はじめに、当該規格における要求事項を踏まえた社内ルールおよび体制を整備するにあたり、それらを規定するための文書類を特定します。次に、既存の社内文書類とのマッピングを行ったうえで、不足している文書類については、新たに作成を行います。最後に、各文書類で定義された体制・手順(リスクマネジメントプロセス、脆弱性通知の仕組み、問い合わせ窓口等)が社内で備えられていることを確認し、必要に応じて、整備・構築を行います。
【JIS T 81001-5-1における企業に求められる対応例(1)】
# | JIS T 81001-5-1における要求事項 | 作成もしくは特定が必要と考えられる文書(例) |
1 | 一般要求事項(箇条4) |
|
2 | ソフトウェア開発プロセス(箇条5) |
|
3 | ソフトウェア保守プロセス(箇条6) |
|
4 | セキュリティに関連するリスクマネジメントプロセス(箇条7) |
|
5 | ソフトウェア構成管理プロセス(箇条8) |
|
6 | ソフトウェア問題解決プロセス(箇条9) |
|
出典:「医療機器の基本要件基準第12条第3項の適用に関する質疑応答集(Q&A)について」(厚生労働省)を基にKPMG作成
【JIS T 81001-5-1における企業に求められる対応例(2)】
JIS T 81001-5-1とは
医療機器の製造業者が、製品の開発ライフサイクルの一部として実施する取組みのうち、特に当該製品のセキュリティを確保するために最低限実施するべき取組みを規定しているものです。
2.TPLCにてサイバーセキュリティを確保するために重点的な対応が求められる分野
基本要件基準第12条第3項への適合を示すために、特に重点的な対応が求められる分野として、ソフトウェア部品表(SBOM)の作成・活用、およびステークホルダー(医療機関等)との連携可能な体制(PSIRT)の構築が挙げられます。
SBOMは、ソフトウェア管理の一手法であり、導入の際には、組織の現状に適合させることが重要です。そのため、SBOM構想検討の段階で、適用範囲を当該基準の要求と自社の現況に合わせて検討し、具体的な計画に落とし込むことが肝要です。
また、PSIRTの構築にあたっては、ステークホルダーとサイバーセキュリティに関する情報を遅滞なく情報共有するために、医療機器を取り巻く脅威を特定し、関連するリスクを評価して、それに適宜対応するための能力を最大化することが期待されます。関連するリスクを評価・共有するためには、先に挙げたSBOMを、ベースとなる情報を提供する重要なツールとして、PSIRTが実現するセキュリティ機能のプロセスに組み込むことが重要です。
【SBOMを活用したPSIRT構築によるステークホルダーとの連携】
3.まとめ
企業において医療機器のサイバーセキュリティを確保することが、法令上求められています。医療機器の上市や継続的な販売を確保するためにも、企業においては対応が不十分である分野を特定したうえで、必要な体制・手順等の整備・構築を行い、各要件を確実に満たしていくことが肝要です。
執筆者
KPMGコンサルティング
シニアコンサルタント 末永 剛之
