序論：医療機器サイバーセキュリティ規制の歴史的転換点

医療機器におけるサイバーセキュリティは、もはや製品の付加価値やオプションではなく、安全性を確保するための根幹的な要求事項へと変貌を遂げた。かつて医療機器は、外部ネットワークから隔絶された閉鎖環境での使用を前提としていたが、デジタルヘルスの進展と接続性の増大により、その前提は崩れ去った。WannaCryのようなランサムウェア攻撃や、URGENT/11、SweynToothといったサードパーティ製コンポーネントに起因する脆弱性は、世界中の病院システムを麻痺させ、患者への診断や治療を遅延させるなど、直接的な危害を及ぼしてきた ¹。

米国食品医薬品局（FDA）が2026年2月3日に発行した最新の最終ガイダンス「Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions」は、2025年6月版を正式に置き換えるものであり、これまでの推奨事項を法的強制力を持つ枠組みへと完全に統合するものである ¹。この最新アップデートの最大の焦点は、FDAが新たに導入した品質マネジメントシステム規則（QMSR）との整合性にある。従来の21 CFR Part 820（品質システム規則）から、国際標準であるISO 13485:2016を直接引用するQMSRへの移行に伴い、サイバーセキュリティに関する要求事項もISO 13485の条項に基づいた形式へと再編された ⁶。

本レポートでは、この2026年2月版FDAガイダンスの詳細を解読し、日本のスタートアップや医療機器メーカーが、日本の薬機法および基本要件基準との差異を踏まえて留意すべき事項を網羅的に解説する。米国市場への参入を目指す企業にとって、単なる技術的な実装にとどまらず、組織的な品質マネジメントシステム（QMS）への統合がいかに不可欠であるかを明らかにすることが本稿の目的である。

FDA 2026年2月版ガイダンスの核心：QMSRへの移行と整合

2026年2月のガイダンス更新は、単なる技術的な微修正ではなく、医療機器の品質管理における構造的な変革を反映している。FDAは、従来の米国独自の21 CFR Part 820を改訂し、ISO 13485:2016を組み込んだ「品質マネジメントシステム規則（QMSR）」を施行した。これにより、サイバーセキュリティ対策はもはや独立したプロセスではなく、QMSの不可欠な一部として、設計開発から市販後監視までのライフサイクル全体に織り込まれることが法的に明確化された ⁶。

QMSRとISO 13485:2016に基づく新たな参照構造

最新ガイダンスでは、従来の21 CFR 820.30（設計管理）への参照が、ISO 13485の該当する箇条（Clause）へと置き換えられている。この変更は、日本企業を含むグローバル企業にとって、QMSの文書体系を国際標準に合わせやすくなる利点がある一方で、FDAがISO 13485の要求事項をどのようにサイバーセキュリティに適用するかという具体的な解釈を理解することが不可欠となっている ⁶。

特徴・項目	2025年までの枠組み (QS Regulation)	2026年からの枠組み (QMSR / ISO 13485)
主な規制	21 CFR Part 820 (Quality System)	21 CFR Part 820 (Quality Management System Regulation)
適用規格	FDA独自の要件定義	ISO 13485:2016 を参照により組み込み 7
設計開発プロセス	21 CFR 820.30	ISO 13485 Clause 7.3 6
ソフトウェアバリデーション	21 CFR 820.30(g)	ISO 13485 Subclause 7.3.7 6
リスクマネジメント	一般的なリスク分析 (820.30)	製品実現に向けた明示的な文書化 (Subclause 7.1) 7
是正処置・予防処置 (CAPA)	21 CFR 820.100	ISO 13485 Subclause 8.5 7

この整合プロセスにおいて、特に注目すべきはリスクマネジメントの義務化である。ISO 13485のSubclause 7.1は、製品実現の過程で一つ以上のリスクマネジメントプロセスを文書化することを求めており、FDAはこの中にサイバーセキュリティリスクの特定、評価、および低減が含まれることを強調している ⁶。これは、従来の「設計管理の一部」という解釈から、「製品の実現そのものを支える基盤プロセス」への格上げを意味する。

「サイバーデバイス」の定義とSection 524Bの適用範囲

FDAの規制強化の根拠となっているのは、連邦食品・医薬品・化粧品法（FD&C法）に新設されたSection 524Bである。この条項により、一定の条件を満たす機器は「サイバーデバイス（Cyber Device）」と定義され、市販前申請において特定のサイバーセキュリティ情報の提出が義務付けられた ⁸。

Section 524B(c)に基づくサイバーデバイスの定義は、以下の3つの要素によって構成される ⁹：

1. スポンサーによって検証、インストール、または認可されたソフトウェアを、デバイス自体として、またはデバイス内に含んでいること。
2. インターネットに接続する能力を有していること。これには直接的な有線・無線接続だけでなく、USBポート、Bluetooth、リムーバブルメディアを介した間接的な接続も含まれる ¹³。
3. サイバーセキュリティ上の脅威に対して脆弱になり得る技術的特性を有していること。

この定義の広範さは、日本のメーカーにとって大きな留意点となる。例えば、インターネットに常時接続されていないスタンドアロン型の機器であっても、保守用のUSBポートが存在したり、Bluetoothを介したスマートフォンとの連携機能があったりするだけで、厳格なサイバーデバイスとしての規制対象となる ¹³。FDAは、物理的なインターフェースも潜在的な攻撃ベクトル（侵入経路）とみなしており、ソフトウェアを搭載するほぼすべての近代的な医療機器がサイバーデバイスに該当する可能性を示唆している。

日米のサイバーセキュリティ規制の差異と留意事項

日本の医療機器メーカーやスタートアップが米国市場に参入する際、日本のPMDA審査で求められる内容と、FDAがガイダンスで要求する内容には、形式面と実質面の両方でいくつかの重要な差異が存在する。日本は国際医療機器規制当局フォーラム（IMDRF）のガイダンスを国内導入しているため、基本的な考え方は整合しているが、提出文書の具体性と、不備があった場合の当局の対応において大きな違いが見られる ⁴。

審査プロセスの厳格性：FDAのRTAポリシー vs 日本の適合性確認

FDAは「Refuse to Accept (RTA)」ポリシーを運用しており、申請資料にサイバーセキュリティに関する必須情報（SBOM、脅威モデリング、セキュリティ計画等）が欠落している場合、内容の審査に入る前に事務的・形式的な不備として申請を却下する ⁸。2023年10月以降、このRTAは本格運用されており、不備のある申請は即座に「ホールド（保留）」状態となる。統計によれば、新規510(k)申請の約3分の1が、少なくとも一度はRTAホールドを受ける実態があり、サイバーセキュリティの不備はその主要な原因となっている ¹²。

一方、日本においても基本要件基準第12条第3項への適合は義務であるが、PMDAの審査プロセスは、提出された資料の内容を精査する中で不足があれば照会事項として確認していくスタイルが一般的であり、米国のような「形式的な即時拒絶」とはニュアンスが異なる ³。しかし、日本企業が米国市場へ申請する際には、この「RTAの壁」を突破するために、ガイダンスに記載されたすべてのドキュメントを、指定されたフォーマット（eSTAR等）で漏れなく揃える必要がある ¹³。

提出文書の具体性と深さ

FDAガイダンスは、提出すべき文書の種類だけでなく、その「視点（View）」についても極めて具体的な要求を課している。特にセキュリティアーキテクチャ図面については、少なくとも4つの異なるビュー（全体システムビュー、複数患者危害ビュー、更新およびパッチ適用ビュー、セキュリティユースケースビュー）の提出を推奨している ⁹。

日本国内の「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」においても、アーキテクチャ設計やリスクマネジメントの重要性は説かれているが、FDAのように「特定の4つの図面がなければならない」というレベルまでの詳細な指定は少ない ³。このため、日本国内での開発に慣れた企業が、日本向けの資料をそのまま英訳してFDAに提出しても、アーキテクチャの詳細度が不足しているとして追加情報（AI）レターを受けたり、RTAに遭ったりするリスクが高い ¹²。

SBOM（ソフトウェア部品表）に関する法的強制力の違い

米国ではSection 524Bに基づき、サイバーデバイスの申請においてSBOMの提出が法的義務となっている ¹。SBOMには、オープンソースコンポーネント、サードパーティ製ライブラリ、ファームウェア、さらにはクラウド資産やAPIの詳細なリストが含まれ、SPDXやCycloneDXといった機械読み取り可能な形式での提供が強く推奨されている ¹⁹。

日本においてもSBOMの重要性は認識されており、IMDRF N73ガイダンスの内容が手引書に反映されているが、現状では「適切な管理手法の一つ」としての位置づけが強く、米国ほど一律かつ厳格な「提出必須項目」としての運用には至っていない ²⁰。しかし、米国で販売を継続するためには、SBOMを常に最新の状態に保ち、市販後も脆弱性監視を行う能力が法的要件として課せられる点に留意すべきである ⁸。

セキュア製品開発フレームワーク（SPDF）の構築

FDAガイダンスの核心的な要求事項の一つは、セキュア製品開発フレームワーク（SPDF）の構築である。これは、開発の各フェーズにおいてサイバーセキュリティ対策を組み込み、それをQMSの一部として文書化することを求めている ⁸。

ライフサイクル全体を通じた統合

SPDFは、設計、開発、検証、バリデーション、製造、設置、および保守の全段階をカバーする必要がある。日本のメーカーにとって、JIS T 2304（IEC 62304準拠）によるソフトウェアライフサイクル管理は馴染み深いが、FDAはこれにサイバーセキュリティに特化したリスクマネジメント（AAMI TIR57等）を統合することを求めている ¹³。

SPDFを構成する主要な要素は以下のプロセスに集約される ⁸：

• セキュリティ要件の特定: 開発の初期段階で、デバイスが満たすべきセキュリティ機能を定義する。
• 脅威モデリング: 攻撃者の視点から、システムのどこに脆弱性が生じうるかを体系的に分析する。
• セキュアコーディング: 入力値バリデーションやメモリ管理など、脆弱性を作り込まない実装を行う。
• セキュリティ検証: 静的・動的解析、脆弱性スキャン、および侵入テスト（ペネトレーションテスト）の実施。
• 脆弱性管理プロセス: 市販後に発見された脆弱性を評価し、修正パッチを配布する手順。

セキュリティ目標（Security Objectives）の達成

FDAは、デバイスの設計が以下の主要なセキュリティ目標をどのように達成しているかを評価する。これらは、情報セキュリティの古典的な「CIA三要素（機密性、完全性、可用性）」を医療機器の実環境に合わせて拡張したものである ⁹。

セキュリティ目標	説明と医療機器における意義
真正性 (Authenticity)	情報や通信が信頼できるソースからのものであることを保証する。整合性（Integrity）の確保も含まれ、不正なコマンド実行を防止する 9。
認可 (Authorization)	許可されたユーザーやシステムのみが機能やデータにアクセスできるようにする。最小権限の原則が適用される 7。
可用性 (Availability)	攻撃を受けている最中でも、必要な臨床機能が維持されるようにする。特に生命維持装置において極めて重要である 9。
機密性 (Confidentiality)	患者の個人情報（PHI）や、設計上の機密情報が漏洩しないように保護する 9。
更新可能性 (Updatability)	脆弱性が発見された際、迅速かつ安全にパッチを適用できる能力。これが欠如していると市場退出を余儀なくされる 9。

これらの目標は、後述する8つのセキュリティ制御カテゴリの実装によって達成されることが求められる。

提出資料に含めるべき具体的な技術ドキュメント

FDAへの市販前申請において、サイバーセキュリティに関するドキュメントは、そのデバイスのリスクレベルに応じて詳細度がスケールする。たとえ低リスクのクラスIIデバイスであっても、ネットワーク接続性や外部インターフェースがある場合は、以下の要素を網羅した包括的な文書セットが必要となる ⁹。

脅威モデリング（Threat Modeling）の詳細

脅威モデリングは、単にリスクのリストを作る作業ではなく、攻撃者の視点からシステムを体系的に分析する技法である。FDAはSTRIDE手法（なりすまし、改ざん、否認、情報漏洩、サービス拒否、権限昇格）などの標準的な手法を用いることを推奨している ¹⁴。

提出資料には、以下の内容が含まれている必要がある ¹⁴：

• 分析の範囲と前提条件: システムのどの範囲を分析対象としたか、どのような境界（Trust Boundary）を設定したか。
• 資産の特定: 患者データ、暗号キー、制御コマンドなど、保護すべき対象を明確にする。
• 攻撃手法の分析: どのような手段で攻撃が行われうるかを具体的に記述する。
• 対策との紐付け: 特定された各脅威に対し、どのような設計上の対策（Mitigation）が講じられているかのトレーサビリティを確保する。

セキュリティアーキテクチャの4つの必須ビュー

FDAガイダンスで特に強調されているのが、アーキテクチャの可視化である。単一の複雑な図面ですべてを説明するのではなく、異なる目的を持つ以下の複数のビューを提出することが求められている ⁹。

アーキテクチャビュー	含有すべき詳細情報
全体システムビュー	デバイス本体だけでなく、病院ネットワーク、クラウド、モバイル端末、物理インターフェース（USB等）を含む全接続関係 9。
複数患者危害ビュー	1台のデバイスへの攻撃がネットワークを通じて広がり、多数の患者に影響を及ぼすリスクをどう防いでいるか（ネットワーク隔離等） 9。
更新およびパッチ適用ビュー	コード作成からビルド、署名、配信サーバー、デバイスでの検証・適用までの「エンドツーエンド」の信頼チェーン 9。
セキュリティユースケースビュー	特定の機能（リモート保守、データバックアップ等）におけるセキュリティ制御の具体的な挙動 9。

特に「複数患者危害ビュー」は、近年の大規模なランサムウェア被害を受けて重要視されている項目であり、1台のデバイスが「踏み台」となって病院全体のシステムを停止させるような事態を防ぐ設計になっているかを、図示して説明しなければならない ⁹。

サイバーセキュリティ試験報告書の厳格化

試験結果として、単に「テストをパスした」という記録だけでなく、具体的なテスト内容と証拠の提出が求められる。特に2026年版では、形式的な報告だけでは不十分であり、内容の妥当性が厳しく問われる ¹⁹。

• ペネトレーションテスト（侵入テスト）: 最終的な製品（Production-equivalent）に対して、専門的な知識を持つテスターが実施した結果。未解決の脆弱性がある場合は、それを修正しない正当な理由が不可欠である。
• 脆弱性スキャン: 既知の脆弱性（CVE）リストに対するスキャン結果。
• ファズテスト: 不正なデータ入力に対する挙動の検証。
• 静的・動的解析報告: コードレベルでのセキュリティ上の欠陥の有無。

サイバーセキュリティ管理の8つの技術制御カテゴリ

FDAガイダンスの付録1（Appendix 1）には、メーカーが検討すべき具体的な技術制御のカテゴリが列挙されている。2026年版では、これらが「推奨事項」ではなく「必須の検討項目」として機能している ¹。

1. 認証 (Authentication): ユーザーだけでなく、通信する他のデバイスやプロセスも認証対象となる。
2. 認可 (Authorization): 権限の分離を行い、万が一一部の機能が突破されても、システム全体の制御を奪われないようにする ⁷。
3. 暗号化 (Cryptography): 最新の標準（FIPS 140-3等）に準拠した暗号化を、保存中および転送中のデータの両方に適用する ¹⁹。
4. 整合性保護 (Integrity): セキュアブートや署名付きコードにより、ファームウェアの改ざんを防止する ¹⁹。
5. 機密性 (Confidentiality): ログファイルや構成情報、患者データが不正に読み取られないようにする。
6. イベント検出およびロギング: 攻撃の試みを検知し、事後の解析が可能なログを残す。
7. レジリエンスおよびリカバリ: システムの一部が故障しても、安全な状態で停止（Fail-safe）または動作継続する能力。
8. ソフトウェアの更新: フィールドにある機器を、物理的な訪問なしで安全に更新できる仕組み。

日本のスタートアップおよびメーカーが陥りやすい技術的・規制的落とし穴

米国市場への進出を計画する日本のメーカー、特にリソースの限られたスタートアップにとって、サイバーセキュリティ対応は時間とコストの両面で大きな負担となる。これまでの失敗事例やコンサルタントの知見から、以下のポイントが指摘されている ¹²。

「オフライン」という誤った安心感

「このデバイスは病院のWi-Fiに繋がらないので、サイバーセキュリティ対策は不要である」という判断は、FDAの審査において最も頻繁に見られる誤解の一つである。FDAの定義では、メンテナンス用のUSBポートや、患者のスマホと連携するためのBluetooth、あるいは単なるシリアルポートが一つでもあるだけで、それは「接続性を持つ」とみなされる ¹³。スタートアップはこの点を開発の極めて初期段階で認識し、ドキュメント作成の計画に含める必要がある。

未解決の脆弱性（Unresolved Anomalies）の管理不備

ソフトウェア開発においてバグや脆弱性が残ることは避けられないが、FDAはそれらが「既知」であるにもかかわらず、適切に評価・説明されていないことを厳しく評価する。ペネトレーションテストの結果、リスクレベルが低いと判断して修正を見送った項目であっても、なぜそれが安全と言えるのかという「技術的根拠」がなければ、RTAホールドの原因となる ¹⁰。

日本国内の文書をそのまま転用するリスク

日本のPMDA向けに作成された資料は、多くの場合、FDAが求める「視点（View）」の体系を満たしていない。また、日本の手引書はIMDRFに基づいているため包括的だが、FDAは「Section 524B」という独自の法的枠組みを持っており、SBOMの構成要素や脆弱性管理計画の内容において、より厳格な形式要件を課している ⁷。日本市場向けの文書作成と、米国市場向けの文書作成は、最初から異なるプロジェクトとして管理するか、FDAの要件を包含する形で作成することが推奨される。

リソースの過小評価とRA担当者の関与の遅れ

サイバーセキュリティ対策は、単なるコードの修正ではなく、QMS全体の書き換えや、外部専門家によるペネトレーションテストの実施、膨大な提出書類の作成を伴う。スタートアップはこれらのコストを開発予算に組み込んでいないことが多く、申請直前になって資金や人員が不足する事態に陥りやすい ²¹。開発の初期段階から規制担当者（RA）やセキュリティ専門家を関与させることが、市場投入までの期間を短縮する鍵となる。

市販後ライフサイクル管理と継続的な法的義務

FDAのガイダンスおよびSection 524Bの下では、市場に出した後の管理も法的義務の一部である。申請が通れば終わりではなく、製品が廃棄されるまでの全期間（TPLC: Total Product Life Cycle）にわたって、以下の活動が求められる ⁸。

脆弱性の監視と迅速なパッチ配布

メーカーは、自社製品に使用しているコンポーネントについて、CVEやCISAが公表する既知の脆弱性カタログを継続的に監視しなければならない ⁷。重大な脆弱性が発見された場合、FDAは「調整された脆弱性開示（CVD）」プロセスの実行を求め、必要に応じてリコールとしての対応も視野に入れる必要がある ¹⁰。パッチのリリーススケジュールについても、脆弱性の緊急度に応じた対応が求められ、特に重大なリスクを伴うものは「可能な限り速やかに（as soon as possible）」配布されなければならない ¹⁰。

サイバーセキュリティ管理計画（CMP）の実装

提出資料の一部として「サイバーセキュリティ管理計画」が含まれていることが必須である。これには以下のプロセスが具体的に記述されていなければならない ¹⁰：

• 脆弱性の収集体制: 外部のセキュリティ研究者や、サプライヤー、病院などからの報告をどのように受け取るか。
• リスク評価基準: 発見された脆弱性のリスクをどのようにスコアリング（CVSS等）し、許容可能かどうかを判断するか。
• 修正プロセスの確立: パッチの開発、検証、バリデーション、および配信をどのように確実に行うか。
• 顧客コミュニケーション: ユーザーに対し、脆弱性の詳細と回避策、修正プログラムの適用方法をどのように通知するか。

結論と日本企業への戦略的提言

FDAが2026年2月に公表した最新のガイダンスは、医療機器メーカーに対し、サイバーセキュリティを品質マネジメントシステムの根幹として位置づけることを強く要求している。特に、ISO 13485:2016を基盤としたQMSRへの完全移行は、これまでの米国独自の品質システムに慣れていた企業だけでなく、国際標準を中心に活動してきた日本企業にとっても、サイバーセキュリティの具体的な実装と文書化において新たな基準を提示している ⁶。

日本のスタートアップや医療機器メーカーが留意すべき最重要事項は、以下の3点に集約される。

第一に、サイバーセキュリティは「提出書類の一種」ではなく、デバイスの安全性（Safety）と有効性（Effectiveness）を成立させるための前提条件であるという意識改革である。FDAはサイバーセキュリティの不備のみを理由に市場アクセスを拒絶する権限を既に行使しており、接続性を持つすべてのデバイスにおいて、設計段階からのセキュリティ・バイ・デザインの実装が不可欠である ⁸。

第二に、日本国内の規制対応（基本要件基準第12条第3項やJIS T 81001-5-1）をベースとしつつも、FDA特有の「アーキテクチャの多角的ビュー」や「法的義務としてのSBOM」といった追加的な要求事項に対し、早期からリソースを割り当てることである。特に、日本の「手引書」では推奨レベルであった事項が、米国ではRTA（拒絶）のトリガーとなる「必須項目」として厳格に運用されている点に細心の注意を払わなければならない ¹²。

第三に、市販後の継続的な責任の受容である。SBOMを基点とした脆弱性監視、迅速なパッチ配布、そして調整された脆弱性開示といったライフサイクル管理は、メーカーにとって一時的な作業ではなく、恒久的な業務負担となる。これをQMSの一環として組織的に運用できる体制を整えることが、米国市場での長期的な成功と患者の安全確保に直結する ¹⁰。

急速に進化するサイバー脅威と、それに対応して高度化する規制環境の中で、日本企業はグローバルな基準であるIMDRF、ISO 13485、そしてFDAガイダンスを統合的に理解し、戦略的な製品開発と規制申請を進めることが求められている。

引用文献

1. Cybersecurity in Medical Devices: Quality Management System, 3月 10, 2026にアクセス、 https://www.fda.gov/media/119933/download
2. Cybersecurity in Medical Devices: Quality System Considerations, 3月 10, 2026にアクセス、 https://www.regulations.gov/document/FDA-2021-D-1158-0001
3. 医療機器のサイバーセキュリティについて, 3月 10, 2026にアクセス、 https://www.pmda.go.jp/files/000267352.pdf
4. Emerging medical device cybersecurity regulations in China, Japan, 3月 10, 2026にアクセス、 https://rapsprod.blob.core.windows.net/rapsk13/raps/media/news-images/rfquarterly/2023q2/23-6_rfq-2_menon.pdf?ext=.pdf
5. Cybersecurity in Medical Devices: Quality Management System, 3月 10, 2026にアクセス、 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-management-system-considerations-and-content-premarket
6. FDA issues revised cybersecurity premarket submission guidance to, 3月 10, 2026にアクセス、 https://www.dlapiper.com/en-us/insights/publications/2026/02/fda-issues-revised-cybersecurity-premarket-submission-guidance
7. FDA Guidance Update: Navigating the QMSR Cybersecurity Shift, 3月 10, 2026にアクセス、 https://www.appluslaboratories.com/global/en/news/fda-guidance-update
8. FDA Cybersecurity Guidance: Key Updates for 2025 | Censinet, Inc., 3月 10, 2026にアクセス、 https://censinet.com/perspectives/fda-cybersecurity-guidance-key-updates-2025
9. Medical Device Cybersecurity Quick-Start Guide – CyberMed, 3月 10, 2026にアクセス、 https://cybermed.ai/quick-start-guide
10. FDA final guidance on Medical Device cybersecurity in 2025?, 3月 10, 2026にアクセス、 https://sii.pl/blog/en/fda-final-guidance-on-medical-device-cybersecurity-what-is-new-in-2025/
11. Explaining New FDA Cybersecurity Requirements | Remington, 3月 10, 2026にアクセス、 https://remmed.com/new-cybersecurity-requirements-in-the-us/
12. 10 Reasons FDA Submissions Fail — Even When You Think You’re, 3月 10, 2026にアクセス、 https://www.complizen.ai/post/10-reasons-fda-submissions-fail-even-when-you-think-you-re-ready
13. FDA guidance on cybersecurity for medical devices – Johner Institute, 3月 10, 2026にアクセス、 https://blog.johner-institute.com/iec-62304-medical-software/fda-guidance-on-cybersecurity/
14. Medical Device Cybersecurity: Best Practices, FAQs, and Examples, 3月 10, 2026にアクセス、 https://innolitics.com/articles/medical-device-cybersecurity-best-practices-faqs-and-examples/
15. JOURNAL – 日本医療機器産業連合会, 3月 10, 2026にアクセス、 https://www.jfmda.gr.jp/wp/wp-content/uploads/2023/07/journal122%E2%98%85Publish.pdf
16. Understanding International Medical Device Cybersecurity Guidance, 3月 10, 2026にアクセス、 https://www.medcrypt.com/cybersecurity-whitepapers/understanding-international-medical-device-cybersecurity-guidance
17. An Impactful Year for Global Regulation of Digital Health | EVERSANA, 3月 10, 2026にアクセス、 https://www.eversana.com/insights/an-impactful-year-for-global-regulation-of-digital-health/
18. How Medical Device Cybersecurity Evolved From Idea To Imperative, 3月 10, 2026にアクセス、 https://www.forbes.com/councils/forbestechcouncil/2024/12/10/how-medical-device-cybersecurity-evolved-from-idea-to-industry-imperative/
19. The 24+ Documents FDA Requires for Software and Cybersecurity, 3月 10, 2026にアクセス、 https://cybermed.ai/blog/documents-fda-requires-for-software-and-cybersecurity
20. 医療機器のサイバーセキュリティ 導入に関する手引書（第２版）, 3月 10, 2026にアクセス、 https://www.roken.or.jp/wp/wp-content/uploads/2023/04/tebikisyo.pdf
21. Four common mistakes startups make when submitting to US FDA, 3月 10, 2026にアクセス、 https://www.worldhealthexpo.com/insights/healthcare-management/four-common-mistakes-startups-make-when-submitting-to-us-fda
22. FDA Cybersecurity Premarket: Medical Device Guide – DigiCert, 3月 10, 2026にアクセス、 https://www.digicert.com/content/dam/digicert/pdfs/whitepaper/fda-cybersecurity-premarket-guide.pdf
23. FDA Medical Device Cybersecurity And SBOMs – Forbes, 3月 10, 2026にアクセス、 https://www.forbes.com/councils/forbestechcouncil/2024/07/22/fda-medical-device-cybersecurity-and-sboms-compliance-and-potential/
24. 【医療機器業界必読】2026年の品質コンプライアンスと … – PR TIMES, 3月 10, 2026にアクセス、 https://prtimes.jp/main/html/rd/p/000000005.000136235.html
25. FDA Cybersecurity Guidance for Medical Devices | Stay Compliant, 3月 10, 2026にアクセス、 https://www.medcrypt.com/regulatory-guidance
26. FDA Cybersecurity Guidance Draft | PDF | Federal Food – Scribd, 3月 10, 2026にアクセス、 https://www.scribd.com/document/584391354/Premarket-Cybersecurity-Guidance
27. Meeting Japan’s Medical Device Cybersecurity Requirements with, 3月 10, 2026にアクセス、 https://www.eltoncyber.com/medsec/meeting-japans-medical-device-cybersecurity-requirements-with-elton/
28. Transcript for Webinar – Cybersecurity in Medical Devices: Quality, 3月 10, 2026にアクセス、 https://www.fda.gov/media/159433/download
29. Building Secure, FDA-Compliant Medical Devices With The SPDF, 3月 10, 2026にアクセス、 https://punchthrough.com/build-fda-compliant-medical-devices-using-spdf/
30. FDA Issues Final Guidance on Cybersecurity in Medical Devices, 3月 10, 2026にアクセス、 https://medtechintelligence.com/news_article/fda-issues-final-guidance-on-cybersecurity-in-medical-devices/
31. Navigating the 2026 FDA Cybersecurity Landscape – Medcrypt, 3月 10, 2026にアクセス、 https://www.medcrypt.com/blog/navigating-the-2026-fda-cybersecurity-landscape-lessons-from-the-top-deficiencies
32. 医療機器サイバーセキュリティの実践 – 厚生労働省, 3月 10, 2026にアクセス、 https://www.mhlw.go.jp/content/11120000/001481044.pdf
33. FDA Releases Final Guidance on Medical Device Cybersecurity, 3月 10, 2026にアクセス、 https://www.emergobyul.com/news/fda-releases-final-guidance-medical-device-cybersecurity