识别风险 科学监管--国际医疗器械数字安全风险监管概述
2020年08月11日 | 点击数:2063 | 【
大】【
中】【
小】
四川大学医疗器械监管科学研究院常务副院长 李安渝
中国电子技术标准化研究院工程师 史春腾
当前,物联网、云计算、区块链、人工智能等数字化技术的广泛应用,为医疗器械行业带来巨大的技术创新空间,越来越多的医疗器械具备了计算机智能、处理复杂逻辑、联网等功能。医疗器械在向智能化、网络化、可移动化方向发展的同时,其数字安全问题也日益凸显,成为各国医疗器械监管机构关注的焦点。
经济合作与发展组织(OECD)发布的《委员会关于重要活动数字安全的建议》(Recommendation of the Council on Digital Security of Critical Activities)中提到,数字化转变带来大量数字安全风险。数字安全风险是由潜在的隐患或未识别的威胁带来的一种风险,这些安全风险带来的漏洞利用以及风险爆发导致的生产事故,严重影响生产过程可行性、完整性以及数据保密性,同时,也影响生产过程所需的数据、硬件、软件和网络的机密性。因此,美国、欧盟、日本、澳大利亚等国家和地区,以及国际医疗器械监管机构论坛(IMDRF)、电气和电子工程师协会(IEEE)等国际组织,均针对医疗器械数字安全风险监管制定了相关政策和文件。
美国
早在2013年9月,美国食品药品管理局(FDA)便制定了界定医疗设备软件和移动医疗设备产品的有关规则,经过多次修改,2019年9月,FDA发布《医疗设备软件功能和移动医疗应用政策》。该文件定义了移动平台、移动医疗应用、常规医疗设备等术语,建立了设备软件功能的管理方法,并列出重点监管的应用示例,如用于测量心脏信号或心肺复苏信号的软件,以及用于进行听力评估与辅助诊断耳科疾病、用于诊断睡眠呼吸暂停综合征等特定疾病的软件,等等。
近年来,FDA着重创建可识别医疗器械数字风险,并能保护消费者的医疗器械网络安全监管架构。FDA还尝试建设医疗设备病患安全网,以保障数字化医疗设备的软件功能安全、网络安全、数据安全等。此外,FDA通过建立“企业资质+设计文档+风险测试”的监管体系,制定医疗器械全生命周期管理策略,加强产品上市前和上市后监管,保障医疗器械数字安全。
欧盟
2019年10月,欧盟医疗器械协调小组(MDCG)发布《医疗器械软件定义与分类指导文件》,规定医疗设备软件(MDSW)必须具有医疗目的。该文件还列出了一种对医疗设备软件进行安全分级的方法,即依据医疗设备软件涉及场景或患者病情严重程度(危急场景/患者,严重场景/患者,非严重场景/患者),并根据医疗设备软件的医疗作用(治疗或诊断,推动临床管理,通知临床管理),将医疗设备软件分为Ⅲ类、Ⅱb类与Ⅱa类。
日本与澳大利亚
2014年11月,日本负责医疗卫生和社会保障的主要部门厚生劳动省(MHLW)发布了医疗设备软件的基本概念——医疗设备软件是指安装在通用电脑端或者手持端上的用于医疗设备的软件。在此基础上,日本MHLW采用注册方式监管各类医疗设备软件。
2019年,澳大利亚药物管理局(TGA)委托澳大利亚联邦科学与工业研究组织(CSIRO)对医疗器械网络安全进行专题研究,以期CSIRO可以提供网络安全最佳实践方案。
其他国际组织
2020年4月,国际医疗器械监管机构论坛(IMDRF)发布官方指南《医疗器械网络安全原则与实践》(Principles and Practices for Medical Device Cybersecurity)。该指南强调医疗器械全生命周期数字安全风险管理,划分了各个参与方的安全责任。电气和电子工程师协会(IEEE)从软件系统与医疗器械的角度出发,发布了ISO/IEEE 11073等基础性规范。国际标准化组织(ISO)、国际电工委员会(IEC)也积极开展医疗器械网络安全风险管理研究,发布包括IEC/TR 80001-2-2在内的一系列标准文件,规范医疗器械网络安全。
受信息化技术发展影响,近年来医疗器械更加智能化、便携化,新形式数字化医疗器械,甚至是纯软件医疗器械产品不断涌现。医疗器械数字化带来的安全风险包括但不限于数据安全、云安全、存储安全、网络安全、算法安全、迭代安全、伦理安全等。识别数字化医疗器械可能带来的安全风险,对数字化医疗器械进行分类分级检测及监管研究迫在眉睫。
(来源:中国医药报)