医療/ライフサイエンスにおけるDevSecOps (前編)

クラウドセキュリティアライアンス(CSA)では、アプリケーションコンテナ/マイクロサービスWGがDevSecOps WGに合流し、最新のクラウドネイティブ環境とDevSecOpsを前提としたソフトウェア開発ライクサイクル(SDLC)におけるベストプラクティスの集積に取り組んでいる。医療/ライフサイエンス領域では、米国食品医薬品局(FDA)が、トータル製品ライフサイクル(TPLC)やDevSecOpsを基盤とするデジタルトランスフォーメーション(DX)施策を展開しており、その影響が医療機器・医薬品の開発・運用を行う企業や医療機関にも及んできた。

トータル製品ライフサイクルを起点とする米国FDAの安全性対策

米国FDA傘下の医療機器・放射線保健センター(CDRH)は、2018年4月16日に公表した「医療機器安全性行動計画:患者の保護と公衆衛生の促進」(https://www.fda.gov/about-fda/cdrh-reports/medical-device-safety-action-plan-protecting-patients-promoting-public-health)の中で、市販前および市販後の専門性、データ、知識や、医療機器の開発・評価・マーケティングの各ステージにおけるすべてのツールを幅広く活用することにより、トータル製品ライフサイクル(TPLC)全体で、消費者や患者、介護者、医療機関が、予防、診断、治療に関する十分な情報を集めて意思決定するために、必要な情報にアクセスできることを保証しなければならないとしている。

またFDAは、「医療機器向けトータル製品ライフサイクル」(https://www.fda.gov/about-fda/cdrh-transparency/total-product-life-cycle-medical-devices)の中で、以下のようなトータル製品ライフサイクル(TPLC)アプローチのメリットを挙げている。

  • CDRHのスタッフに、コミュニケーションを介した機器開発からのホリスティックな視点を提供し、機器の市販前および市販後の意思決定を導くのに役立てる
  • 医療機器の市販前および市販後のレビュー活動における透明性や一貫性を促進して、機器製造業者に対する予測可能で明確な見通しを提供する
  • 市販前および市販後の活動を1つのチームに組み合わせて、FDAが迅速な方法で安全上の課題に対応するのに役立てる
  • 機器のライフサイクルを通じて、機器の安全性やパフォーマンスに関する透明性を保証し、CDRHが優れた内部向けおよび外部向けの顧客サービスを提供することを可能にする
  • 市販前データからの知識を活用することによって、市販後およびコンプライアンスの意思決定を知らしめる
  • 市販前データやコンプライアンス活動からの知識を活用することによって、よりよい情報に基づく市販前医師決定を行うのに役立てる

このような背景から、FDAは、医療機器に関する市販前データと市販後データを統合したトータル製品ライフサイクル(TPLC)データベースを構築し、オープンデータとして公開している(https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfTPLC/tplc.cfm)。TPLCデータベースには、以下のようなデータベースが収載されており、通常、月次で更新されている。

  • 市販前承認(PMA)
  • 人道的使用医療機器免除(HDE)
  • De Novo 分類申請
  • 市販前通知[510(k)]
  • 有害事象(医療機器不具合情報データベース(MAUDE)
  • 医療機器リコール

トータル製品ライフサイクル(TPLC)を活用した医療機器開発促進プログラム

他方、FDAは、トータル製品ライフサイクル(TPLC)アプローチを活用したイノベーション推進活動にも積極的に取り組んでいる。たとえばFDA傘下のCDRHは、2023年10月2日、トータル製品ライフサイクル諮問プログラム(TAP)パイロットおよび参加医療機器について公表した(https://www.fda.gov/medical-devices/how-study-and-market-your-device/total-product-life-cycle-advisory-program-tap)。TAPパイロットは、2023~2027会計年度医療機器ユーザー料金改定(MDUFA V)再認可の一部として、FDAと産業界が合意したコミットメントの1つであり、2023会計年度内に初期フェーズを開始する予定である。

TAPパイロットでは、公衆衛生上、安全で有効な、高品質の医療機器に対して、より迅速な開発とより迅速で幅広い患者のアクセスを奨励するのに役立てることを、長期的なビジョンとしている。FDAは、TAPパイロットを通じて、公衆衛生上必要な革新的医療機器向けに、以下のような戦略的エンゲージメントを提供するとしている。

  • より迅速な市販前の相互作用のために提供することによって、参加者とFDAとの間のエクスペリエンスを向上させる
  • 機器開発およびレビュープロセスを通して、FDAスタッフを含む全参加者のエクスペリエンスを強化する
  • 早期段階における機器開発リスクの特定、評価、低減など、機器開発中の戦略的意思決定の向上を促進する
  • 機器開発の早期段階より、FDAのレビューチーム、参加者、FDA以外のステークホルダー(例. 患者、医療機関、保険者)の間の定期的な、ソリューションに焦点を当てたエンゲージメントを促進する
  • エビデンスの生成に関するよりよい期待の一致、申請品質の向上、市販前レビュープロセスの有効性の向上のために協働する

FDAは、2023会計年度中に心血管系機器室(OHT2)向けの参加受付を開始し、2024会計年度には、神経系・理学療法系機器室(OHT5)向けの参加受付を開始した。2024年4月12日現在、TAPパイロットには、総数43件の医療機器が参加を表明している。FDAは、その後2027会計年度まで、TAPパイロットの対象機器領域を拡大していく予定である。

参考までに、医療機器だけでなく医薬品においても、FDAは、トータル製品ライフサイクルを前提とする安全性対策を講じている。たとえば、FDA傘下の医薬品評価研究センター(CDER)と生物製品評価研究センター(CBER)は、2021年5月11日、「Q12 医薬品ライフサイクルマネジメントにおける技術上・規制上の考慮事項 – 産業界向けガイダンス」(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/q12-technical-and-regulatory-considerations-pharmaceutical-product-lifecycle-management-guidance)を公表している。

”DevOps”から”DevSecOps”へと進化する米国FDAのDX

FDAは、トータル製品ライフサイクル(TPLC)に基づく安全性対策と並行して、ITモダナイゼーションへの取組を推進してきた。たとえば、2019年9月18日に公表した「技術モダナイゼーション行動計画(TMAP)」(https://www.fda.gov/about-fda/reports/fdas-technology-modernization-action-plan)の中で、FDAの公衆衛生ミッションを進歩させるために、コンピュータハードウェア、ソフトウェア、データ、分析など、技術利用のモダナイゼーションに向けた短期的実行計画を示した。この計画は、以下の3要素から構成される。

  • FDAの技術インフラストラクチャのモダナイゼーション
  • 規制のミッションを支援する技術製品を開発するFDAの機能の強化
  • システムを越えた相互運用性を有し、消費者と患者に価値を提供する技術的進歩をけん引するための、ステークホルダーとのコミュニケーションと協働

特に「FDAの技術インフラストラクチャのモダナイゼーション」は、堅牢なインフラストラクチャ、クラウド最前線の計画、明確で効率的な外部データインタフェース、サイバーセキュリティへのフォーカスなど、技術モダナイゼーション計画の最優先課題となっており、以下のような具体的アクションを掲げている。

  • クラウド戦略
  • ビジネス特有のニーズ向けに簡素化されたソフトウェア開発機能(DevOps)
  • アプリケーションプログラミングインタフェース(API)、標準規格およびその他の交換メカニズムやツール
  • データのクリーンナップとクラウド環境への移植
  • as a serviceモデルの継続的採用
  • サイバーセキュリティ・エクセレンスへの継続的な専念
  • 科学計算のエンタープライズIT計画への統合
  • エンタープライズレベルの技術組織である情報管理技術室(OIMT)内およびFDA全体にわたる組織的アラインメント
  • オペレーショナル・エクセレンスと複数年に渡る技術計画
  • 費用抑制と重複排除
  • エンタープライズITガバナンス
  • 適切な場合、レガシーシステムおよびソフトウェアアプリケーションの廃止

さらにFDAは、技術ユースケースの構築に向けて、最新技術ソリューションを生成するための技術”製品”開発ケーパビリティを構築し、情報に基づいて規制上の意思決定を行うために、新たなソリューションを効率的に評価・分類できるようにするとしている。特に、FDAが開発した技術製品は、短中期的なFDA技術ロードマップに必要なケーパビリティを証明し、実現するとともに、以下のような製品開発マインドセットを組込むとしている。

  • 異なるFDAプログラム領域に採用される可能性があるような、重要なビジネスおよびデータの要求事項に取組み、重複を削減することによって、製品に焦点を当てる
  • テスト向けの”最小限の実行可能な製品”の開発
  • ”DevOps”のマインドセットとプラクティスの採用”
  • 速く失敗する”反復と展開に対する意欲
  • FDA環境向けの”プロダクトマーケットフィット”に焦点を当てる;
  • 協働的な文化
  • ユーザーエクスペリエンス、満足度、採択の向上;
  • 短中期的に可能性があるものを紹介する機会

こうして、FDAの技術モダナイゼーション計画を担う製品開発マインドセットとして、”DevOps”の概念が組み込まれた。

さらに、米国大統領行政府が20021年5月12日に発出した「国家サイバーセキュリティに関する大統領令」(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/)を受けて、2022年3月20日、FDA傘下のデジタルトランスフォーメーション室(ODT)が公表した「モダナイゼーション・イン・アクション2022」(https://www.fda.gov/news-events/fda-voices/fdas-technology-and-data-modernization-action-2022)では、前述の「技術モダナイゼーション行動計画(TMAP)」の最優先項目として「アジャイルと製品の文化」が示された。

その中で、ゼロトラストモデルや、セキュアなクラウドコンピューティング、多要素認証、暗号化、脅威検知、脆弱性管理およびその他のディフェンス機能の導入を支える標準規格・ベストプラクティスの1つとして明記されたのが、”DevSec”とセキュリティを統合した”DevSecOps” (Development, Security and Operations)である。

このようにFDAが、トータル製品ライフサイクル(TPLC)やDevSecOps、ゼロトラストモデルなどを前提とするデジタルトランスフォーメーション(DX)施策を加速させていくと、デジタル化された当局とのコミュニケーションを日常的に行う医療機器企業や、市販後対策において患者・家族との接点となる医療機関も対応せざるを得ない。

SBOMにおけるトータル製品ライフサイクル(TPLC)とDevSecOpsの融合

ここまで、米国FDAにおけるトータル製品ライフサイクル(TPLC)およびDevSecOpsの展開動向について触れてきたが、両者が融合するツールとして注目されるのが、ソフトウェア部品表(SBOM)である。

たとえば、国際医療機器規制当局フォーラム(IMDRF)が2023年4月13日に公表した「医療機器のサイバーセキュリティのためのソフトウェア部品表の原則及び実践」(https://www.imdrf.org/documents/principles-and-practices-software-bill-materials-medical-device-cybersecurity)では、「1. イントロダクション」の中で、SBOMが、市販前および市販後活動の双方(例. トータル製品ライフサイクル(TPLC))におけるサイバーセキュリティリスクマネジメントを改善するために活用できるリソースだとしている。

また、「SBOM コンポーネントの種類およびツール」の「サードパーティのソフトウェアライブラリー」において、より進んだ手順の例として、既存の開発プラットフォームとDevOp環境の活用を挙げている。特に、自動化ツール/プラグインを、1つまたは複数フェーズの開発パイプライン(DevSecOps)に組み込むことが可能だとしている。また、同じ「SBOM コンポーネントの種類およびツール」の「ファームウェア、組込みソフトウェア、PLC」において、製品ライフサイクル管理ソフトウェアやERPソフトウェアを通してBOMを管理する場合、エクスポート機能を使ってソフトウェアコンポーネントを抽出することが可能である点を指摘している。

なお、クラウドセキュリティアライアンス(CSA)のDevSecOps WGでは、企業組織がDevSecOpsを導入する際に重要な領域として、以下の6つを挙げている。

  1. :集団的責任
  2. :トレーニングおよびプロセスインテグレーション
  3. :実用的な実装
  4. :コンプライアンスと開発の間の架け橋
  5. :自動化
  6. :測定、監視、報告、および行動

これらの概要については、後編で概説する。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*