「米国に医療機器を輸出するため FDA 510(k) 申請を進めているが、サイバーセキュリティ要件の整理が追いついていない」――国内中堅医療機器メーカーから多く寄せられる相談だ。 2023 年 3 月施行の FD&C Act Section 524B(通称 PATCH Act)により、サイバーデバイスとして該当する医療機器は申請時のサイバーセキュリティ要件提出が法定化された。本稿は対応の要点を整理する。
目次
- FD&C Act 524B(PATCH Act)の概要
- サイバーデバイス該当性の判定
- Premarket Cybersecurity Guidance 2023 の要件
- SBOM 提出の要件と書式
- 国内中堅メーカーの対応スケジュール
- 510(k) と PMA の差分対応
- Postmarket(市販後)対応の継続要件
- よくある質問(FAQ)
FD&C Act 524B(PATCH Act)の概要
| 項目 | 内容 |
|---|---|
| 法的根拠 | Federal Food, Drug, and Cosmetic Act Section 524B(2022 年 12 月 Omnibus 法案で追加) |
| 施行日 | 2023 年 3 月 29 日(Refuse-to-Accept は 2023 年 10 月から) |
| 適用範囲 | サイバーデバイス(後述)に該当する全申請 |
| 提出物 | Cybersecurity Plan、SBOM、テスト結果、市販後対応 |
| 出典 | FDA「Cybersecurity in Medical Devices」公式 Guidance |
サイバーデバイス該当性の判定
FDA 定義のサイバーデバイスは以下の 3 条件全て を満たすもの。
| 条件 | 内容 |
|---|---|
| 1 | デバイスがソフトウェアを含むこと |
| 2 | インターネットへの接続可能性があること |
| 3 | サイバーセキュリティ脅威に晒されうる技術的特性を有すること |
Premarket Cybersecurity Guidance 2023 の要件
2023 年 9 月発行の最終 Guidance に基づく主要提出物:
| 提出物 | 概要 |
|---|---|
| Security Risk Management Plan | リスク特定・分析・評価・対応の計画 |
| Threat Modeling | STRIDE 等の手法による脅威モデル |
| Cybersecurity Risk Assessment | 残存リスク評価、ベネフィット-リスク分析 |
| SBOM(Software Bill of Materials) | OSS / 商用 / 自社開発の構成情報 |
| Vulnerability Assessment | 既知脆弱性のスキャン結果と対応 |
| Penetration Testing | 第三者ペネトレーションテスト結果 |
| Cybersecurity Labeling | ユーザ向けセキュリティ情報・運用手順 |
| Postmarket Plan | 市販後監視、脆弱性開示、パッチ配信計画 |
SBOM 提出の要件と書式
SBOM は NTIA Minimum Elements に準拠し、機械可読フォーマット(SPDX または CycloneDX)で提出する。
| SBOM 必須要素 | 内容 |
|---|---|
| Supplier Name | コンポーネント提供者名 |
| Component Name | コンポーネント名 |
| Component Version | バージョン番号 |
| Other Unique Identifiers | CPE / PURL 等の識別子 |
| Dependency Relationship | 依存関係 |
| Author of SBOM Data | SBOM 作成者 |
| Timestamp | 作成日時 |
国内中堅メーカーの対応スケジュール
| フェーズ | 期間目安 | 主なアクション |
|---|---|---|
| 該当性判定 | 1 ヶ月 | サイバーデバイス該当性の社内判定、必要なら Q-Sub |
| ギャップ分析 | 2-3 ヶ月 | 既存設計・文書と Guidance 要件の差分 |
| Threat Modeling 実施 | 2-3 ヶ月 | STRIDE 等で脅威モデル構築 |
| SBOM 整備 | 1-2 ヶ月 | ビルドツール連携、機械可読化 |
| ペネトレーションテスト | 2-3 ヶ月 | 第三者機関依頼、是正対応 |
| 申請文書作成 | 2-3 ヶ月 | Cybersecurity Plan、Labeling、Postmarket Plan |
| 510(k) 提出 | - | 受理後 90 日(Standard Review)が目安 |
510(k) と PMA の差分対応
| 観点 | 510(k) | PMA |
|---|---|---|
| 対象 | クラス II(中リスク) | クラス III(高リスク) |
| 審査基準 | 既承認デバイスとの実質的同等性 | 安全性・有効性の科学的証明 |
| 審査期間 | 90-180 日 | 180-320 日 |
| Cybersecurity 要件 | Premarket Cybersecurity Guidance 適用 | 同 + より詳細な臨床データ要求 |
| 申請費用 | $24,335(FY 2026 予算案ベースの参考値、最新は FDA 公式参照) | $483,560(同) |
Postmarket(市販後)対応の継続要件
市販後の継続要件として以下が法定化された:
- 脆弱性監視:継続的な脆弱性情報収集と評価
- パッチ配信:合理的な期間でのパッチ提供
- Coordinated Vulnerability Disclosure(CVD):脆弱性開示プロセス公開
- SBOM 更新:パッチ毎の SBOM 更新と顧客提供
- MAUDE 報告:重大インシデント発生時の MedWatch 報告
国内メーカーは ISAC(医療機器 ISAC、H-ISAC 等)との連携で脅威情報共有を行うのが推奨実装。
「規制改訂への対応が遅れている、専門家の助けが欲しい」
業界規制対応の現状診断と移行ロードマップ、外部監査連携を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q. ソフトウェアアップデートのみの 510(k) でもサイバー要件が必要? A. 該当性判定で「サイバーデバイス」に該当すれば必要。Software Patch / Modification の 510(k) でも適用される。
Q. SBOM はどのフォーマットを採用すべき? A. SPDX または CycloneDX が事実上の標準。FDA は両方を受理するため、社内ビルド環境との整合性で選定。
Q. ペネトレーションテストは社内実施で足りるか? A. 第三者機関による独立評価が推奨される。社内テストのみでは Refuse-to-Accept リスク。
Q. 国内 PMDA 申請との並行はどう設計するか? A. PMDA は MDS(Manufacturer Disclosure Statement)等での対応が中心で FDA とは形式が異なる。文書ベースは共通化、形式は別管理が現実的。
参考資料
- FDA「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions」(2023 年 9 月)
- FDA「Section 524B of the FD&C Act」公式解説
- NTIA「The Minimum Elements For a Software Bill of Materials (SBOM)」
- H-ISAC(Health Information Sharing and Analysis Center)公式
国内医療機器メーカーの FDA 510(k) サイバーセキュリティ対応、SBOM 整備、第三者ペネトレーションテスト連携は GXO のコンプライアンス対応サービスで対応可能です。