米国FDA、QMSRとの整合を図るため医療機器サイバーセキュリティガイダンスを再発行
目次
2026年にコネクテッド機器を開発する製造業者にとって、ISO 13485統合への移行が意味するもの
米国食品医薬品局(FDA)は、医療機器製造業者に対し、サイバーセキュリティを単独の技術要件や、市販前申請時に追加するだけの文書対応として扱うことはもはやできない、というメッセージを改めて強調しました。
現在、サイバーセキュリティは品質マネジメントの中核要素として位置づけられ、機器の設計、バリデーション、市場投入、そしてライフサイクル全体にわたるサポートに用いられるシステムへ直接組み込まれる方向に進んでいます。
FDAは最近、医療機器のサイバーセキュリティに関する最終ガイダンスを再発行し、従来のQuality System Regulation(QSR)から、新たなQuality System Management Regulation(QMSR)への移行に合わせて内容を更新しました。
これは単なる用語変更ではありません。サイバーセキュリティ要件が、ISO 13485に基づく品質システム、グローバルな規制調和、そして継続的なライフサイクル監督と、これまで以上に密接に結びついていることを示す、より広範な規制動向を反映しています。
(最終ガイダンス文書はこちら:Final guidance)
ソフトウェア駆動型、コネクテッド、あるいはAI搭載デバイスを開発する製造業者にとって、この変化は明確なシグナルです。
サイバーセキュリティは背景に追いやられるのではなく、製品基盤のさらに深い部分へ組み込まれているのです。
QSRからQMSRへ:なぜこの更新が重要なのか
FDAによるQSRからQMSRへの移行は、米国における医療機器品質監督に関する規制構造として、ここ数十年で最も重要な変革の一つです。
QSRは長年、米国市場で事業を展開する製造業者にとって馴染み深い枠組みでしたが、QMSRはFDA要件を、医療機器品質マネジメントシステムに関する国際規格ISO 13485へより近づけるものです。
この移行は、米国の要求事項を他国規制当局と調和させ、複数市場で製品を販売する製造業者にとって重複作業を削減し、一貫性を向上させることを目的としています。
しかし同時に、重要なコンプライアンス上の現実ももたらしています。FDAは現在、サイバーセキュリティ関連の多くの要求事項を、設計管理、バリデーション、リスクマネジメントを規定する品質システム条項に明確に結び付けています。
再発行されたサイバーセキュリティガイダンスは、QSRの21 CFR Part 820への参照をQMSRおよびISO 13485に紐づけた更新された参照に置き換えることで、この変更を反映しています。
言い換えれば、FDAはメーカーに対して、「サイバーセキュリティは品質と切り離された物ではなく、品質の一部である」と伝えているのです。
品質システム管理のエビデンスとしてのサイバーセキュリティ文書
更新されたガイダンスにおける最も重要なポイントの一つは、FDAが引き続き文書化したアウトプットを重視している点です。
FDAは、製造業者が品質システムプロセスと整合した客観的証拠によって、サイバーセキュリティ管理を実証できなければならないと明確に示しています。
サイバーセキュリティは、もはやセキュリティ機能のチェックリストだけで評価されるものではありません。
代わりに、FDAの期待は、サイバーセキュリティリスクを、安全性および性能を管理する同じ設計・開発プロセスの中で、体系的に管理しているかどうかに注視しるようになっています。
QMSRにおいては、製造業者はサイバーセキュリティへの配慮が以下に統合されていることを示す必要があります。
- 設計計画
- リスクマネジメントプロセス
- ソフトウェアバリデーション
- 検証および妥当性確認活動
- 市販後監視およびライフサイクルサポート
これは、サイバーセキュリティが安全性および有効性保証と不可分であるという、規制上の現実を改めて強調しています。
ISO 13485の設計管理がサイバーセキュリティ準備の中核に
更新されたガイダンスでは、FDAは製造業者に対し、設計および開発管理を規定するISO 13485の7.3項およびその下位条項を直接参照するよう指示しています。
これは重要な意味を持ちます。
設計管理は従来から医療機器コンプライアンスの基盤でしたが、FDAは現在、サイバーセキュリティも同じ構造化されたプロセス内で対応しなければならないことを明確に示しています。
例えば、7.3.7項では、設計・開発の妥当性確認を実施し、製品が使用目的の要求事項を満たしていることを確実にするよう求めています。
FDAは、これには医療機器ソフトウェアの妥当性確認も含まれると指摘しており、そこが近年、サイバーセキュリティ上の脆弱性が発生しやすい領域となっています。
これは、製造業者にとって、サイバーセキュリティを開発の後工程のペネトレーションテストや市販前申請資料だけで対応することは不十分で、開発の初期段階から設計の妥当性確認活動へ組み込まなければならないことを意味します。
臨床的には問題なく機能するものの、サイバーセキュリティ上のストレス(攻撃や侵害)にさらされると破綻するコネクテッド機器は、今日の規制環境において『使用目的』の要求を満たしているとは言えません。
拡大し続けるリスクマネジメント要求
FDAはまた、ISO 13485の7.1項が、製品実現全体を通じた文書化されたリスクマネジメントプロセスを要求していることを改めて示しています。
ここでもメッセージは明確です。サイバーセキュリティリスクは、もはや独立したIT上の懸念事項ではなく、製品全体のリスクの一部として扱われています。
製造業者は、サイバーセキュリティ関連のハザードを特定し、その潜在的影響を評価し、適切な管理策を実施していることを、他の安全関連リスクと同じリスクマネジメント体系の中で示せるよう準備しておいく必要があります。
多くの製造業者にとって、これはエンジニアリング部門、ソフトウェア部門、品質部門、規制対応部門間の、より緊密な連携を必要とします。
サイバーセキュリティは、もはや一つの部門が単独で担うものではありません。
規制当局は、組織全体で責任を持つことを期待しています。
ガイダンスで変わったこと、変わらないこと
今回のFDA更新版ガイダンスは主に整合化を目的としていますが、同時に、規制当局によるサイバーセキュリティの監督をどう位置づけているかについて、より成熟した考え方を反映しています。
基本的な原則自体は、これまでと一貫しています。
- サイバーセキュリティは安全性の問題である
- 文書は管理されていることを実証しなければならない
- 市販前申請にはサイバーセキュリティのエビデンスを含む必要がある
- ライフサイクルサポートおよび市販後監視が不可欠である
しかし構成の見直しによって、FDAが製造業者に対しサイバーセキュリティを品質システムを通じて運用することを期待していることが明確になりました。
これは単に文書を1つ追加する話ではありません。適合性があり、バリデートされ、かつ継続的にサポート可能な医療機器を生み出すプロセスそのものに、サイバーセキュリティを組み込むことが求められているのです。
規制の流れはそこへ向かっており、査察やエンフォースメント(是正要求・指摘)
も同様に進む可能性が高いでしょう。
2026年以降の医療機器製造業者への実務的影響
2026年以降に申請を予定している製造業者にとって、再発行されたガイダンスは、いくつかの重要な実務的な優先事項を示しています。
まず、品質部門とサイバーセキュリティ部門は、同じ「共通の枠組み(プレイブック)」に基づいて連携していく必要があります。
サイバーセキュリティはQMSの外側に存在してはならず、設計管理、サプライヤー管理、苦情処理、変更管理へ統合される必要があります。
次に、製造業者はソフトウェアバリデーションに対する審査が一層厳しくなることを想定すべきです。特に、アップデート、クラウド接続、相互運用性に依存するコネクテッド機器に対してです。
さらに、グローバルな整合性の重要性はこれまで以上に高まっています。
FDAがISO 13485を基盤としていることは、サイバーセキュリティコンプライアンス戦略が、米国だけでなくEU MDRやその他の新興サイバーセキュリティ規制枠組みにも対応できる必要があることを意味します。
最後に、文書整備の準備が極めて重要です。
製造業者は、サイバーセキュリティに関するエビデンスが、申請時だけに集められるものではなく、ライフサイクル全体を通じて追跡可能で、監査可能であり、継続的に維持されるべきであることを前提にする必要があります。
IntertekによるサイバーセキュリティおよびQMSR対応支援
規制要求が進化する中、製造業者には、技術的サイバーセキュリティ領域と、規制当局が求める品質システム構造の両方を理解するパートナーが必要です。
Intertekは、医療機器製造業者の製品ライフサイクル全体を通じて、サイバーセキュリティ、ソフトウェア保証、規制文書を、QMSRおよびISO 13485に対するFDA要求事項へ適合させる支援を行っています。
当社の医療機器サイバーセキュリティおよびコンプライアンスサービスには、以下が含まれます。
- サイバーセキュリティリスクマネジメントを、設計管理、ソフトウェアバリデーション、およびISO 14971に整合プロセスへ統合する支援
- IEC 81001-5-1への適合評価を含む、コネクテッド医療機器に対する、サイバーセキュリティ耐性、相互運用性、安全性能に関する試験及び評価
- 市販前申請準備支援(文書レビュー、エビデンス作成、FDAガイダンスとの整合確認を含む)
- 市販後サイバーセキュリティ監視、脆弱性管理、管理されたソフトウェアアップデートに対応するライフサイクル支援戦略
- QMSR要件への適合を支援しつつ、主要市場におけるグローバルコンプライアンスを維持する品質システム整合サービス
FDAからの明確なメッセージ:サイバーセキュリティは品質システム要求事項である
FDAによる今回のサイバーセキュリティガイダンス再発行は、FDAがサイバーセキュリティを、医療機器の安全性、有効性、そして品質システム成熟度の基盤とみなしていることを示す強力なシグナルです。
製造業者へのメッセージは明確です。
サイバーセキュリティは、医療機器コンプライアンスの他のあらゆる要素と同様に、設計され、妥当性確認され、文書化され、維持されなければなりません。
サイバーセキュリティを単なる申請戦略ではなく、品質文化の一部として捉える製造業者こそが、規制要求に適合し、コネクテッドヘルスケア技術への長期的信頼を構築できるでしょう。
この記事を書いた人
