速報 FDAサイバーセキュリティガイダンス2025年6月改訂版
医療機器サイバーセキュリティ:品質システムの考慮事項と市販前申請の内容
概要
FDAは2025年6月、医療機器サイバーセキュリティガイダンス「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions」の改訂版を発行しました。2023年版(最終化ガイダンス)からの主な変更点として、AI/ML搭載デバイス向け要件の拡充、SBOMの詳細化、サプライチェーンリスク管理の強化などが挙げられます。
主な変更点
✅AI/ML搭載デバイス向け要件を拡充
AI/MLを活用する医療機器ソフトウェアにおけるサイバーリスクへの対応について、AIモデルや学習データ管理の脆弱性も含めたリスク評価が必須となりました。脅威モデリングでもAI特有の攻撃シナリオ(例:モデル逆流攻撃)を考慮することが明記されています。
✅SBOMにAIモデル情報の追加を義務化
SBOM(ソフトウェア部品表)に、デバイスに搭載するAIモデルや外部AIライブラリの以下の情報を含めるよう更新されました:
- バージョン
- トレーニングデータ概要
- ベンダー情報
✅ソフトウェア・サプライチェーンリスク管理の詳細化
サプライチェーンリスク管理を強化し、第三者ソフトウェアやクラウドサービスの脆弱性対応計画を脆弱性管理計画に組み込むことが必須化されました。
✅脆弱性開示・対応スケジュールの具体化
脆弱性発見から公表、パッチ提供までのタイムライン目安(例:重大度Criticalなら60日以内)を設定するよう推奨され、管理計画に明記することが求められるようになりました。
✅多拠点連携を想定したマルチペイシェントハーム評価
複数施設に配備される機器を想定し、同時多発的に複数患者へ影響を及ぼすリスクへの設計対応を明記するよう更新されました。
✅規格参照の更新
FDAが推奨するセキュリティ関連規格リストに以下が追加されました:
- IEC 81001-5-1:2024(医療機器ソフトウェアのセキュリティライフサイクル規格最新改訂版)
- ANSI/AAMI SW96(SBOM標準化仕様)
✅人材・体制強化を推奨
設計・リスク管理に携わる組織に対して、サイバーセキュリティ専任者配置やトレーニング実施をガイダンス上で推奨されました。
まとめ
2023年版ガイダンスから2年を経て、AI/MLの台頭とサプライチェーン脅威の深刻化を反映した内容に進化しました。医療機器メーカーは、AI・クラウドを活用したソフトウェアの脆弱性管理を含め、開発初期から詳細な文書化・体制整備を徹底する必要があります。
Medical Software Consulting では Youtube公式チャネルにて、2023年版のガイダンスの解説動画は下記にて解説していますので、今回の改定内容と合わせてご覧下さい。
✅FDA 医療機器サイバーセキュリティガイダンス(2023年版)解説 (10分)
なお、本ガイダンスでも AI/ML を考慮した内容が追加されています。FDAの 医療機器AI系ガイダンスについても解説動画をご覧下さい。
✅FDA PCCPガイダンス(AI医療機器向け変更計画の戦略的活用)(11分)
0 件のコメント:
コメントを投稿