米国 食品医薬品局 医療機器におけるサイバーセキュリティ FD&C法524B条に基づくサイバーデバイスおよび関連システムに対する受け入れ拒否の方針
こんにちは、丸山満彦です。
米国の食品医薬品局が。医療機器におけるサイバーセキュリティ FD&C法524B条に基づくサイバーデバイスおよび関連システムに対する受け入れ拒否の方針を発行していますね。。。
2022年12月29日に2023年連結歳出法(「オムニバス」)が成立しましたが、医療機器のサイバーセキュリティについての条項、第3305条「医療機器のサイバーセキュリティの確保」もあります。これは、連邦食品・医薬品・化粧品法(FD&C法)を改正し、第524B条「機器のサイバーセキュリティの確保」を追加したものですね。。。3月29日からの施行のため、3月30日にガイダンスが発行されています。。。パブコメは求めることはしていないけど、問題があればいつでも相談してねって...
⚫︎ U.S. Food and Drug Administration
・FDA-2023-D-1030 Cybersecurity in Medical Devices: Refuse to Accept Policy for Cyber Devices and Related Systems Under Section 524B of the FD&C Act; Guidance for Industry and Food and Drug Administration Staff; Availability
・2023年連結歳出法(「オムニバス」)第3305条
SEC. 3305. ENSURING CYBERSECURITY OF MEDICAL DEVICES. | SEC. 3305. 医療機器のサイバーセキュリティを確保する。 |
(a) In General.—Subchapter A of chapter V of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 351 et seq.) is amended by adding at the end the following: | (a) 一般に-連邦食品・医薬品・化粧品法(21 U.S.C. 351 et seq.)の第V章Aは、末尾に以下を追加することにより改正される: |
"SEC. 524B. ENSURING CYBERSECURITY OF DEVICES. | "SEC.524B. 機器のサイバーセキュリティの確保 |
“(a) In General.—A person who submits an application or submission under section 510(k), 513, 515(c), 515(f), or 520(m) for a device that meets the definition of a cyber device under this section shall include such information as the Secretary may require to ensure that such cyber device meets the cybersecurity requirements under subsection (b). | "(a)一般的に -本条に基づくサイバー機器の定義を満たす機器について、510(k)項、513項、515(c)項、515(f)項、または520(m)項に基づく申請または提出を行う者は、当該サイバー機器が第(b)項のサイバーセキュリティ要件を満たすことを確実にするために長官が要求する情報を含む。 |
"(b) Cybersecurity Requirements.—The sponsor of an application or submission described in subsection (a) shall — | "(b) サイバーセキュリティ要件"-第(a)項に記載された申請書または提出物のスポンサーは、以下のとおりとする。 |
“(1) submit to the Secretary a plan to monitor, identify, and address, as appropriate, in a reasonable time, postmarket cybersecurity vulnerabilities and exploits, including coordinated vulnerability disclosure and related procedures; | "(1) 調整された脆弱性の開示および関連する手順を含む、市販後のサイバーセキュリティの脆弱性および悪用を監視、特定、および適切な時期に対処する計画を長官に提出する; |
“(2) design, develop, and maintain processes and procedures to provide a reasonable assurance that the device and related systems are cybersecure, and make available postmarket updates and patches to the device and related systems to address— | "(2) 機器及び関連システムがサイバーセキュリティであることを合理的に保証するためのプロセス及び手順を設計、開発及び維持し、機器及び関連システムの市販後の更新及びパッチを利用可能にし、以下の事項に対処する。 |
“(A) on a reasonably justified regular cycle, known unacceptable vulnerabilities; and | "(A) 合理的に正当化された定期的なサイクルにおいて、既知の許容できない脆弱性。 |
“(B) as soon as possible out of cycle, critical vulnerabilities that could cause uncontrolled risks; | "(B) 制御不能なリスクを引き起こす可能性のある重要な脆弱性を、サイクルからできるだけ早く除外する; |
“(3) provide to the Secretary a software bill of materials, including commercial, open-source, and off-the-shelf software components; and | "(3) 商用、オープンソース、市販のソフトウェア部品を含むソフトウェア部品表を長官に提供すること。 |
“(4) comply with such other requirements as the Secretary may require through regulation to demonstrate reasonable assurance that the device and related systems are cybersecure. | "(4) 機器および関連システムがサイバーセキュアであるという合理的な保証を示すために、長官が規則により要求するその他の要件に従うこと。 |
“(c) Definition.—In this section, the term ‘cyber device’ means a device that— | "(c)定義-本節において、「サイバー機器」という用語は、以下の機器を意味する。 |
“(1) includes software validated, installed, or authorized by the sponsor as a device or in a device; | "(1) 装置として、または装置内に、スポンサーによって検証、インストール、または認可されたソフトウェアを含む; |
“(2) has the ability to connect to the internet; and | "(2)インターネットに接続する機能を有している。 |
“(3) contains any such technological characteristics validated, installed, or authorized by the sponsor that could be vulnerable to cybersecurity threats. | "(3) スポンサーによって検証され、インストールされ、または認可された、サイバーセキュリティの脅威に脆弱な可能性があるそのような技術的特性を含む。 |
“(d) Exemption.—The Secretary may identify devices, or categories or types of devices, that are exempt from meeting the cybersecurity requirements established by this section and regulations promulgated pursuant to this section. The Secretary shall publish in the Federal Register, and update, as appropriate, a list of the devices, or categories or types of devices, so identified by the Secretary.” | "(d) 免除-長官は、本節および本節に従って公布された規則により確立されたサイバーセキュリティ要件への適合を免除される機器、または機器のカテゴリーもしくはタイプを特定することができる。長官は、長官がそう特定した機器、または機器のカテゴリーもしくはタイプのリストを連邦官報に掲載し、適宜更新するものとする。" |
(b) Prohibited Act.—Section 301(q) of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 331(q)) is amended by adding at the end the following: | (b) 禁止行為-連邦食品医薬品化粧品法301条(q)(21 U.S.C. 331(q))は、末尾に以下を追加することにより改正される: |
“(3) The failure to comply with any requirement under section 524B(b)(2) (relating to ensuring device cybersecurity).” | "(3)第 524B(b)(2) 項(機器のサイバーセキュリティの確保に関する)に基づくいずれかの要件に従わないこと。. |
(c) Rule of Construction.—Nothing in this section, including the amendments made by this section, shall be construed to affect the Secretary’s authority related to ensuring that there is a reasonable assurance of the safety and effectiveness of devices, which may include ensuring that there is a reasonable assurance of the cybersecurity of certain cyber devices, including for devices approved or cleared prior to the date of enactment of this Act. | (c) 構成規則-本節による修正を含む本節のいかなる規定も、機器の安全性と有効性の合理的な保証の確保に関連する長官の権限に影響を及ぼすものと解釈してはならない。この権限には、本法の制定日以前に承認または認可された機器を含む、特定のサイバー機器のサイバーセキュリティの合理的保証の確保を含めることができる。 |
(d) Effective Date.—The amendments made by subsections (a) and (b) shall take effect 90 days after the date of enactment of this Act. An application or submission submitted before such effective date shall not be subject to the requirements under subsection (a) or (b) of section 524B of the Federal Food, Drug, and Cosmetic Act, as added by this section. | (d) 発効日-第(a)項及び第(b)項による改正は、本法の制定日の90日後に発効する。当該発効日前に提出された申請書または提出物は、本節により追加された連邦食品・医薬品・化粧品法第524B条(a)または(b)の要件に従わないものとする。 |
(e) Guidance for Industry and FDA Staff on Device Cybersecurity.—Not later than 2 years after the date of enactment of this Act, and periodically thereafter as appropriate, the Secretary, in consultation with the Director of the Cybersecurity and Infrastructure Security Agency, shall review and, as appropriate and after soliciting and receiving feedback from device manufacturers, health care providers, third-party-device servicers, patient advocates, and other appropriate stakeholders, update the guidance entitled “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices” (or a successor document). | (e) 機器のサイバーセキュリティに関する産業界およびFDAスタッフ向けのガイダンス-本法制定日から2年以内に、およびその後適宜定期的に、長官は、サイバーセキュリティおよびインフラセキュリティ庁長官と協議して、機器製造業者、医療提供者、第三者機器サービス業者、患者支援者、およびその他の適切な関係者から意見を募り受け取った後、必要に応じて、「医療機器のサイバーセキュリティ管理のための市販前提出内容」(または後継のドキュメント)というタイトルのガイダンスを見直し更新しなければならない。 |
(f) Resources Regarding Cybersecurity of Devices.—Not later than 180 days after the date of enactment of this Act, and not less than annually thereafter, the Secretary shall update public information provided by the Food and Drug Administration, including on the website of the Food and Drug Administration, with information regarding improving cybersecurity of devices. Such information shall include information on identifying and addressing cyber vulnerabilities for health care providers, health systems, and device manufacturers, and how such entities may access support through the Cybersecurity and Infrastructure Security Agency and other Federal entities, including the Department of Health and Human Services, to improve the cybersecurity of devices. | (f) 機器のサイバーセキュリティに関するリソース-本法の制定日から180日以上遅く、その後毎年以上、長官は、食品医薬品局のウェブサイトを含め、食品医薬品局が提供する公開情報を更新し、機器のサイバーセキュリティの改善に関する情報を提供するものとする。当該情報には、医療提供者、医療システム、機器製造者のサイバー脆弱性の特定と対処に関する情報、および当該機関が機器のサイバーセキュリティを改善するためにサイバーセキュリティおよびインフラセキュリティ庁および保健福祉省を含む他の連邦機関を通じて支援を受けることができる方法に関する情報を含めるものとする。 |
(g) GAO Report.—Not later than 1 year after the date of enactment of this Act, the Comptroller General of the United States shall publish a report identifying challenges in cybersecurity for devices, including legacy devices that may not support certain software security updates. Through such report, the Comptroller General shall examine— | (g) GAO報告書-本法の制定日から1年以内に、米国会計検査院は、特定のソフトウェア・セキュリティ更新をサポートしない可能性のあるレガシー機器を含む、機器のサイバーセキュリティにおける課題を特定する報告書を公表するものとする。当該報告書を通じて、会計検査院は、以下の事項を調査するものとする。 |
(1) challenges for device manufacturers, health care providers, health systems, and patients in accessing Federal support to address vulnerabilities across Federal agencies; | (1) 機器メーカー、医療提供者、医療システム、および患者が、連邦機関または 省庁にまたがる脆弱性に対処するための連邦政府の支援にアクセスする際の課題; |
(2) how Federal agencies can strengthen coordination to better support cybersecurity for devices; and | (2) 機器のサイバーセキュリティをよりよく支援するために、連邦機関がどのように連携を強化できるのか。 |
(3) statutory limitations and opportunities for improving cybersecurity for devices. | (3) 機器のサイバーセキュリティを改善するための法的制限と機会。 |
(h) Definition.—In this section, the term “device” has the meaning given such term in section 201(h) of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 321(h)). | (h) 定義-本節において、「機器」という用語は、連邦食品・医薬品・化粧品法(21 U.S.C. 321(h))201条(h)において当該用語に与えられる意味を有する。 |
« 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13) | Main | EDPB 2022年活動報告書 »
Comments