在医疗器械广泛集成无线通信及网络连接技术的当代临床生态中，网络安全已成为保障患者安全与设备有效性的核心要素。日本医疗器械网络安全监管由厚生劳动省（MHLW）及药品医疗器械综合机构（PMDA）主导，通过修订《药事法》（PMD Act）下的“基本原则”（Essential Principles），已将网络安全纳入注册强制性要求。该监管体系确立了以“全生命周期管理”（TPLC）为核心的合规框架，并强调制造商、医疗机构及监管机构间的“共同责任”模型。自2024年3月31日过渡期结束后，所有医疗器械注册申请资料必须体现针对网络安全风险的系统性管控方案。

在技术准则层面，日本正式引入JIS T 81001-5-1:2023（等同采用IEC 81001-5-1:2021），将其作为评估医疗软件及健康IT系统安全性的基础标准。该标准需深度集成于现有的软件生命周期管理（JIS T 2304/IEC 62304）与风险管理（JIS T 14971/ISO 14971）体系之中。制造商须在产品设计与制造阶段，针对预期运行环境进行威胁建模（Threat Modeling），识别潜在攻击路径与脆弱性，并制定相应的风险缓解措施。威胁建模过程必须清晰阐述漏洞被利用的路径、预测性威胁及其对医疗功能的潜在影响，以确保设计验证记录的完备性。

注册申报的关键性合规项之一是软件物料清单（SBOM）的建立。PMDA要求在软件配置管理过程中生成详尽的SBOM，其核心要素必须包含供应商名称、组件名称、版本号、唯一标识符、依赖关系、SBOM作者及时间戳。SBOM不仅是前置审批的必要技术文档，更是上市后脆弱性监测的基础工具。此外，制造商必须在质量管理体系（QMS）下建立稳健的维护机制，包括制定安全更新通知政策、监测软件支持终止（EOS）前的脆弱性动态，以及确立漏洞披露与应急响应程序。

从监管视角来看，PMDA的网安规定旨在通过标准化的技术要求，降低因网络安全事故导致的诊断延迟或治疗错误风险，从而规避对患者造成的实质性损害。制造商在提交概要技术文件（STED）时，必须明确识别并评估可能影响产品功能或引发安全忧虑的风险，确保安全性在整个产品生命周期内保持受控状态。这种基于风险、标准驱动的监管范式，在提升医疗器械韧性的同时，也为全球医疗器械网络安全治理提供了重要的区域实践范例。

参考资料

https://www.pmda.go.jp/files/000266827.pdf.
PMDA-Cybersecurity requirements for medical device product registration

日本医疗器械网络安全注册要求解析

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑