gotopgi

【生醫評析】數位醫療下的網路安全-從美國FDA的觀點出發

2022-05-20 江奕緯 生醫顧問

數位科技應用於醫療保健及其利益
       「數位科技」(Digital Technologies)指的是用來產生、儲存或是處理數據的電子工具、電子系統以及電子儀器,應用的範圍相當廣闊,其中也包含醫療保健。從可協助醫生做決策的醫療軟體(或應用程式)一直到「以人工智慧和機器學習為基礎」(AI/ML-based)的醫療器材,都可以看到數位科技的應用。根據美國「食品藥物管理局」(Food and Drug Administration,以下簡稱FDA)的定義,數位醫療包含:「行動醫療 (Mobile Health,簡稱mHealth)、健康資訊科技 (Health Information technology,簡稱HIT)、穿戴式裝置 (Wearable Device)、遠距醫療 (Telehealth and Telemedicine)以及個人化治療 (Personalized Medicine)等」,除了專業端的應用(如遠距醫療)外,也更多應用在「消費者端」,像是mHealth或是穿戴式裝置等。這樣的應用除了可以提高醫療效率、減少醫療花費、提高醫療品質甚至提供患者和消費者具有更佳的管理及追蹤他們健康相關的數據。
 
數位醫療相關議題及FDA關注重點之一-網路安全
       正因為數位科技應用在醫療產業,許多的「利益相關者」也參與其中,包含患者、醫護人員、研究人員、傳統醫療器材公司以及新創公司,故使得FDA也開始將其注意力擺放到這個領域上。根據FDA下的「醫療器材暨輻射健康中心」(Center for Device & Radiological Health)的說法,其對於這些進步且創新的醫療器材產品具有的連接性及消費科技感到高度的興趣,並提出目前正高度關注的數位醫療九大相關議題,例如:(1)醫療器材軟體(Software as a Medical Device,簡稱SaMD)、(2)AI/ML-based醫療器材軟體、(3)網路安全(Cybersecurity)、(4)醫療器材軟體功能(包括行動醫療App.)、(5)健康資訊科技、(6)醫療器材數據系統(Medical Device Data System,簡稱MDDS)、(7)醫療器材的互用性(Medical Device Interoperability)、(8)遠距醫療、(9)無線醫療器材。根據上述所列的九大議題之中,我們可以看到「網路安全」也成為FDA近年來在數位醫療領域中所關注的重點之一,其緣由是有越來越多的醫療器材具有連接的功能(不論是連接網路或是連接其他醫療器材),可以有效的改善醫療照護、提升醫療決策以及更多的訊息交流,但如同雙面刃般,在增加網路連接相關功能的同時,卻也增加了潛在的網路安全風險;且也如同電腦系統一樣,醫療器材可能因為網路安全漏洞的緣故,對其安全性與有效性產生負面的影響,繼而導致患者產生危險性。
 
FDA網路安全指引文件重點摘要
       有鑑於此,FDA認為需要透過一套強而有力的網路安全規範,來確保數位醫療器材的安全性及有效性,故於2022年4月8日時,另提出了一份標題名為「醫療器材的網路安全:品質管理系統的相關考量與上市前提交文件內容」(即Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submission)的指引文件草案,一方面,這個新版本,是為了要取代2018年所發布的舊指引文件草案,並進一步強化醫療器材設計的安全性(因為在設計開發的最初即做好評估,就可以有效減少「整體產品生命週期」【Total Product Lifecycle】中的網路安全風險),而另一方面,FDA藉著對此類型產品上市前申請(Premarket Submission)所需提繳的文件內容中有關網路安全的部分做出更清楚說明的方式,以一併解決網路安全性的疑慮。根據觀察,在這份新的指引草案中,有兩大重點,分別為:(一)產品安全開發架構(A Secure Product Development Framework)以及(二)提升「網路安全透明度」(Cybersecurity Transparency),現簡單的為讀者說明於下:
(一) 產品安全開發架構
FDA提供相當完整的架構,使醫療器材製造商可以提供完整的文件供審核,其重點就在於網路安全的風險分析、提供完整的醫療器材連接架構(包含連接網路或是其他醫療器材)以及最後要做的網路安全測試,因此,透過這樣的架構,便可以評估產品開發到上市可能遇到的威脅,然後有效的降低這些危險。
(二) 提升網路安全透明度
提升網路安全透明度則是需要提供可能的網路風險給使用者,使其知道潛在的風險在哪,以及該如何去避免,透過這樣的風險告知,讓使用者在使用醫療器材時可以維持其安全性及有效性。
 
小結
       科技的快速發展推動醫療器材數位化,數位醫療為整個醫療環境帶來改善,但同時也帶來相對的網路安全風險,FDA意識到醫療器材網路安全是整個醫療系統使用者共同的責任,亦即製造商、醫院和相關醫護機構必須共同努力來管理網路安全風險,故在這份新指引草案中,提供了相當完整的架構,值得醫療器材相關產業的參與者細讀,但由於這份新指引文件目前仍尚處在「草案」的階段,所以本文僅先簡單重點摘要出這份文件內容,待FDA完成相關公眾意見的收集(自草案公布日後起算90天)與修正後,筆者將會就其未來擬公布的最終修訂版指引文件,再與讀者做更詳細的介紹。

參考資料
1. For more information about the “Digital Health”, please refer to this website:
https://www.fda.gov/medical-devices/digital-health-center-excellence/what-digital-health 
2. For more information about the “Cybersecurity”, please refer to this website:
https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity 
3. For more information about the ”Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submission”, please refer to this website:
https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations
-and-content-premarket-submissions