關於FDA的醫療器材發展與管理宗旨
　　於上篇文章裡，筆者已為讀者們簡短地介紹過「數位醫療下的網路安全」，說明美國數位科技在醫療器材領域應用的現況，以及FDA對於數位醫療下網路安全的重視。關於未來醫療器材之發展與管理，FDA下的「醫療器材暨輻射健康中心」(Center for Device & Radiological Health，以下簡稱CDRH)先前所訂定的願景為：有效保護患者、促進創新醫材的有效性及安全性、以及完成那些還未被滿足的醫療需求，且在前述脈絡下，過去FDA也已經建構了許多方法及政策來加強對於醫療器材的管制，例如：建立UDI系統(Unique Device Identification System)、重視真實世界證據(Real World Evidence)、建立國家健康科技評估系統(National Evaluation System for health Technology，以下稱為NEST)、針對上市前申請及上市後管理的流程做了許多次修改以及對於網路安全的重視等，希望透過這些方式為美國境內患者提供可以滿足其醫療需求且安全的醫療器材。
 
簡述FDA醫療器材安全行動計畫
　　也因為有了過去的努力，延續這些基礎，FDA希望進一步訂定更完善的計畫，來促進醫療器材的發展，故於2018年4月17日時，發表了一份名為「醫療器材安全行動計畫：保護患者以及提升公眾健康」(Medical Device Safety Action Plan: Protecting Patients, Promoting Public Health)文件，並於當中提出了如下五大要點，希望透過此項計畫於結合過去所奠基礎的前提下，藉由檢視「產品生命週期」(Total Product Life Cycle，以下簡稱TPLC)加強醫療器材安全性的方式，可以在發展創新的醫療器材同時，達到有效的溝通、解決舊有的或是新增加的問題，讓整個開發過程更安全且更有效，其分別是：

1. 在美國境內需建立更嚴謹且周全的「醫療器材患者安全網」(Medical Device Patient Safety Net)：與先前建立的NEST合作收集醫材相關資料，透過分析來改善整個開發流程，另外也會針對特定議題做討論，如探討女性健康或是性別差異的議題；
2. 探索更多管理方式，以精簡及符合現代化的方式執行上市後監督：上市後的醫療器材往往會有新的風險產生，如何制定相關的規定，這也是FDA必須衡量的問題之一；
3. 促進創新且更安全的醫療器材開發：如同過去FDA有針對突破性醫療器材(Breakthrough Device)提出特定的申請模式，但仍有需多醫療器材可能未到突破性醫材的等級，但也具有一定的重要性，FDA將循著突破性醫材的模式，提供更多有利申請的方式來促進醫材申請及開發；
4. 推動醫療器材網路安全：有鑑於過去發生許多惡意軟體攻擊醫療器材的事件發生，導致患者有危險發生的可能，所以網路安全重視也變得相當重要；
5. 整合CDRH上市前申請及上市後管理的辦公室及活動：透過更全面的了解，檢視醫療器材的TPLC來確保其安全性。

 
推動醫療器材網路安全
　　雖然上篇文章筆者已提供了關於醫療器材網路安全最新指引的資訊，但為讓讀者瞭解為何FDA會持續提供相對應的醫療器材網路安全指引文件，筆者認為藉著聚焦回顧過去FDA所提出行動計畫中相關部分(即上述醫療器材安全行動計畫的第4點-推動醫療器材網路安全)，或許可以帶給讀者較為清晰的脈絡並說明FDA對於醫療器材網路安全的重要性的重視，如下：

1. 針對上市前提供更多相關數據：
   1. (1) 在產品設計中建立更新和修補醫療器材安全性的能力，並在上市前提交(Premarket submissions)的文件中向FDA提供相關數據。
   2. (2) 提供「軟體物料清單」(Software Bill of Materials)，需為上市前提交文件的一部分並提供給FDA。另外也須提供給醫療器材的使用者，以便他們能夠更好地管理其網路資產(Asset)並了解醫療器材於使用中可能存在的威脅。

2. FDA將會更新關於醫療器材網路安全的「上市前指南」(Premarket Guidance)，以更好地防範新興的風險。
3. 提供新的上市後規範(Postmarket Authority)，要求業者採用相關政策及程序。
4. 成立由官方及民間專家組成的「網路醫療安全分析委員會」(CyberMed Safety (Expert) Analysis Board，以下稱為CYMSAB)，委員會是由軟體、硬體、網路運作、生醫工程以及臨床的專家組成，透過這樣的委員會，將整合患者安全以及臨床環境來評估醫療器材的漏洞威脅。其委員會功能將包括評估漏洞、評估患者安全、協調爭議、評估可行的緩解措施以及提供諮詢服務等。可以發現現有的醫材漏洞及提供相對應的回饋機制。

　　綜合上述，近年來FDA、製造商以及醫療照護者確實在改善醫療器材的網路安全有明顯的進步，但是，包括FDA在內的所有利益相關者(Stakeholders)，仍都必須「努力跟上」新出現的威脅及漏洞，有鑑於此，FDA認為應更進一步地針對醫療器材網路安全提供相對應的方法及計畫，以確實保障醫療器材整體的安全性。
 
小結
　　針對這項計畫，我們可以看到FDA針對醫療器材的安全及有效性做了相當多的措施，而其中筆者認為網路安全的重要程度是相對高的，因此特別向讀者著重介紹。我們可以看到份計畫書裡針對網路安全提出了四項措施，前三項都是著重在於改善相關申請或是上市後監督的規定，目的就是希望可以使醫療器材製造商或是相關人員可以更明確的針對網路安全漏洞作改善。而筆者後續也查了CYMSAB這個委員會的相關資訊，並未看到太多相關的資訊，但有看到相關文章說明這個委員會可能因為經費不足的關係，而發展的不如預期。筆者認為這可以是一個提供我們反思的地方，FDA在推廣相關措施時，也會遇到許多窒礙難行的點，更不用說國內發展的情況。目前國內針對網路安全也有相關的指引文件，如於2021年5月3日發布的「適用於製造業者之醫療器材網路安全指引」，但因為網路威脅會隨著時間逐漸改變及增加新的未知危險，所以需要多參閱國際上的情勢及相關指引，來適時地做修改。
 
 參考資料：

1. For more information about the “Medical Device Safety Action Plan: Protecting Patients, Promoting public Health”, please refer to this website: https://www.fda.gov/about-fda/cdrh-reports/medical-device-safety-action-plan-protecting-patients-promoting-public-health

2. For more information about the “National Evaluation System for health Technology”, please refer to this website: https://www.fda.gov/about-fda/cdrh-reports/national-evaluation-system-health-technology-nest

3. For more information about the “TPLC”, please refer to this website: https://www.fda.gov/about-fda/cdrh-transparency/cdrh-transparency-total-product-life-cycle-tplc

4. For more information about the ”CYMSAB”, please refer to this website:https://www.dmj.com/dmj-blog/cybersecurity-risks-to-medical-devices-how-real-is-the-threat/