内容
医療機器におけるリスクマネジメント
1. はじめに
2. 品質が良い医療機器とは
3. ISO-13485の認証とFDA査察の違い
4. 放射線治療装置の死亡事故
5. 誤使用
5.1 合理的に予見可能な誤使用
5.2 誤使用の例
6. ISO-14971
6.1 ISO-14971とは
6.2 ISO-14971の適用範囲
6.3 ISO-14971の経緯
6.4 ISO-14971の構成
6.5 IEC-60601-1とISO-14971
7. EN ISO-14971
7.1.1 “negligible risk”(無視可能なリスク)の扱い
7.1.2 リスクの受容可能性についての医療機器企業の自由裁量権
7.1.3 ALARPではなくAFAPによるリスク低減
7.1.4 あらゆるリスクに対するリスク/便益分析の適用
7.1.5 リスクコントロール手段についての裁量
7.1.6 初期リスクコントロール手段についての裁量
7.1.7 残存リスクについてのユーザへの情報提供
8. リスクマネジメント手順
8.1 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化(Step-1)
8.2 ハザードの特定(Step-2)
8.3 リスクの推定(Step-3)
8.4 リスクの評価(Step-4)
8.5 リスクコントロール
8.5.1 リスクコントロール手段の明確化(Step-5)
8.5.2 IEC-62304によるソフトウェアに関する分析(Step-6)
8.5.3 リスクコントロール手段の実施と文書化(Step-7)
8.6 残留リスク評価(Step-8)
8.7 リスク/便益分析(Step-9)
8.8 新たなハザードの発生確認(Step-10)
8.9 リスク評価の完了(Step-11)
8.10 残留リスクの全体的評価(Step-12)
8.11 製造中および製造後の情報によるリスクマネジメントの見直し手順
9. 体外診断用医療機器(IVD)のリスクマネジメントモデル
1. はじめに
医療機器には何らかのリスク(危害の潜在的な源)が存在している。何らかのリスクを抱えた状態で市場
へ出荷され、事故が起こる前に予防策として、あらゆるリスクを検出し、それによって患者やユーザに危害
を及ぼさないようにするのが、医療機器におけるリスクマネジメントの主目的である。
製品実現の中でリスクマネジメント活動を行い、特に製品の設計・開発にあたっては、リスクマネジメン
トから得られた情報を加えることが必要である。つまり、市場からの製品(類似製品を含む)におけるフィ
ードバック情報も重要な要素となる。
この活動はPDCAを基本としている。必ず市場からのサーベイ、顧客からの苦情、そういうものをフィー
ドバックしてリスク分析に戻さないといけないのである。ここでいうリスクとは、「患者やユーザに対する健
康被害」のことである。「医療機器に欠陥が潜んでしまう」や「製造担当者がけがをする」といった事象は、
リスクマネジメントの対象ではないことに注意が必要である。
1つの医療機器の設計の全ライフサイクルを通じて、医療機器企業がリスクコントロールを最大限実施し
たことを証明するために、リスクマネジメントにおける活動は、リスクマネジメントファイルにおいて、完
全に文書化しなければならない。
適切なリスクマネジメント活動は、新しい医療機器の開発、生産、販売等を支えることにより、重要な価
値をもたらす。
リスクマネジメント活動により、製品開発スケジュールへの影響を最小限に留めながら、機能的安全性や
使い勝手を向上させるための変更や改良の特定や実施が可能になる。
また、製品を市場に投入するまでの時間を短縮して、一層の競争優位性をもたらす。
2. 品質が良い医療機器とは
品質が良いということは、どんな状態であろうか。
医療機器においては、ユーザの要求事項と完成した医療機器の仕様が完全に適合している状態が、品質が
良いといえる。
使い勝手が良いとか、見てくれがいいとか、デザイン性がいいとか、そういうことは無関係なのである。
医療機器は、意図される使用目的(intended use)に対して機器が完全に適合している状態、これが、品質
が良い医療機器なのである。
要求事項と完成医療機器が完全に整合していることを確認して保証することを「バリデーション」と呼
ぶ。日本語では「妥当性の確認」と訳されている。
ISO-9000による定義には、「バリデーションとは、特定の意図した用途またはアプリケーションに関する要
求が満たされていることを、客観的な証拠の提示により確認することである。」と記載がる。
また、QSRには、「バリデーションとは、特定の意図する用途のための特有の要求事項が恒常的に満たされ
得るという客観的証拠の検討と規格による確認を意味する。」と記載されている。
バリデーションは、必ずユーザ環境またはユーザ環境を模擬した環境で実施しなければならない。医療機
器企業側のみで実施すると、実際の使用状況と異なり、想定外の事故が起きてしまう可能性があるのである。
ところが、医療機器には1つ問題がある。そもそも要求事項が正しいとは限らないのである。例えば、医
師などから、新規医療機器に対する要求が得られたとしよう。その要求に従い、設計し、製造したとしよう。
しかしながら、実際に使用してみた場合、実は当初想定したような使用目的にそぐわず、使いづらいなどの
問題がしばしば発生する。そのため、何らかのリスクが潜んでしまったり、時には事故が発生してしまうのである。
品質には4つの種類がある。
1. 企画の品質
2. 設計の品質
3. 製造の品質
4. サービスの品質
である。
それぞれ、品質の4つの種類における要求事項は、次の通りである。
企画の品質においては、製品で実現しようとしている特性に対する顧客の要求である。
設計の品質においては、企画の段階で検討された特性の水準や品質仕様である。
製造の品質においては、図面・仕様書などの設計文書である。
サービスの品質においては、調整、据え付け、消耗品の補給、不良品などへの対応に対する顧客の要求で
ある。
これら要求事項を満たした場合、当該医療機器および付帯サービスは、品質が良いといえるのである。
3. ISO-13485の認証とFDA査察の違い
ISO-13485は、「医療機器の品質マネジメントシステム−規制目的のための要求事項」である。
ISO-9001は、製造業からサービス業まであらゆる業種に対応可能な反面、医療機器に適用しようとす
ると、その安全性を確保しきれないという問題があった。そこで制定されたのが、ISO-13485である。
ISO-9001をベースに、医療機器の安全性や品質を確保するのに必要な要求事項が追加された。
ISOに参加する各国は、国民の健康維持・向上のため、医療機器を厳しく規制している。ISO-13485が
「規制目的のための要求事項」とされているのは、このためである。
ISO-13485の目的は、世界中の医療機器法令の整合化を促進することである。つまり、ISO-9000は民
間の規格であるのに対して、ISO-13485はもはや規制要件なのである。
日本、米国、欧州など、ISOに参加する各国の当局がレビュを行っている。
ところで、ISO-13485の認証を受けていても、FDA査察で指摘されることがしばしばある。
ISO-13485の認証は、第三者認証機関(NB:Notified Body)が実施する。つまり民間業者がビジネス
として実施するのである。クライアントとの付き合いもあり、必然的に厳しい指摘には及ばないことや
多くの指摘を出さないこともしばしばである。
しかしながら、FDAは米国民を保護するために、日本までやってきて査察を行うのであるから、リス
クを徹底的に調査し、指摘を出すのである。査察官自身も国民への説明責任があり、また事故などが発生
した場合には、査察した者の責任が問われることもあり得るのである。
4. 放射線治療装置の死亡事故
1985年から1987年にかけて、米国で複数の医療施設でTherac-25という放射線治療装置が誤作動し、過大
な放射線を浴びた患者に死傷者が出た。
Therac-25という放射線治療装置は、旧モデルのTherac-20の廉価版であった。そのコストの下げ方は、電
気機械式の安全保護装置を、「安全はソフトウェアでも確立できる」というコンセプトのもと、経済性を優先
させるためにハードウェアによる安全装置を外した。そのためハードウェアによる安全装置のために抑えら
れていたソフトウェアの不具合が発現した。
このTheracシリーズのソフトウェアは、正式な教育を受けていない、いわばずぶの素人がたった1人で設計したものであった。そのためバグが非常にわかりにくい構成になっており、特殊な状況において、ソフト
ウェアの処理スピードがかなり遅くなるという欠陥が潜在していた。操作コマンドを素早く打ち込んだ場
合、Therac-25ではX線用の金属製ターゲットをきちんと配置しないまま、高エネルギーの放射線を照射して
しまうという欠陥が潜んでいた。(図1参照)
図1 Therac-25の不具合
問題は、医療機器企業でのテストは、テストスクリプトに従ってテストデータを入力し、確認をしながら
ステップを踏む。しかしながら、実際の医療現場では、医師がいわゆるブラインドタッチを行い、素早くデ
ータを打ち込むことが多い。そのため、高エネルギーの放射線を照射してしまったために、被爆した患者が
数日後に亡くなったということであった。Therac-20では、ハードウェアによる安全装置が存在したため、当
該事故は発生せず、ソフトウェアの問題は露見しなかったのである。
当初は、調査したFDAも当該医療機器企業も、ハードウェアの故障と考えていた。そのため、なぜ過度な
エネルギー照射が起こるのか原因を突き止めるのに長い時間がかかり、付け焼き刃の対策で装置の使用を止
めなかったために、Therac-25による犠牲者は6名にまで拡大してしまった。
この事故を調査した現マサチューセッツ工科大学のNancy Leveson教授は、事故調査を終えて次のような
教訓を書き残している。
・ソフトウェアはどんなに慎重に作っても満足できるほどに完璧にはならないため、ソフトウェアがどん
な動きをしたときでも、人命に危険が及ばないようにシステムを設計する必要がある(フェールセーフ、
独立した安全装置の設置など)
・ソフトウェアの信頼性をできるだけ高めるのは悪いことではないが、それでソフトウェアが安全になる
わけではない。プログラマは要求を満たすようにコードを書くが、要求が正しいとは限らない。事故の
ほとんどは、プログラミングのエラーではなく、要求が間違っていたり、不完全であったりしたために
起きている
・われわれの目標は、だれもがこの経験を生かせるようにすることであり、装置のメーカーや他の人を批
判することではない。間違いは、このメーカーにだけ起きたのではなく、残念ながら、安全が最優先さ
れるべきその他のシステムにも、きわめて日常的に起きている
・いくつかの出来事が複雑に絡み合って起きた事故が、1つの原因にされることが多すぎる。ほとんどの
事故は、システム事故、つまり、さまざまな構成部分や機能が複雑に作用しあって起きるものだ。事故
の原因を1つに特定することは、大きな間違いだ。
Nancy Leveson 教授が語ったTherac-25の事故調査から導き出された組込みソフトウェアの安全に関する教
訓は、20年以上経過した現在でも生き続けている。
というよりも、組込みソフトウェアの大規模・複雑化とCPUの統合化により、より危険性が加速されてき
おり、組込みソフトエンジニアがソフトウェア開発を行っている際に常に考えていなければいけない重要な
教訓となっている。
この事故を教訓に、FDAは1987年に「General Principles of Software Validation(ソフトウェアバリデーショ
ンの原則)」と呼ばれるガイドラインを発行した。
ソフトウェアのバリテーションは、医療機器メーカーだけではなく、ユーザの環境またはユーザ環境を模
擬した環境で、ユーザが参画して実施することが義務付けられたのである。
5. 誤使用
5.1 合理的に予見可能な誤使用
市場出荷された医療機器自体になんら欠陥がないとしよう。ところが、使う側であるユーザが操作を間違
ってしまうということがあるのである。ヒューマンエラー、誤使用、不注意というものに対しても、必ず発
生するので生産者側では気をつけなくてはならない。
医療機器の場合においても、こういった誤使用という問題がある。医療機器業者が想定した使用法が記載
されている取扱説明書の通りに使用しないというのが誤使用である。これはヒューマンエラーである。
いくら医療機器企業側が気をつけていても、ユーザ側が間違ってしまうということも、リスクとして捉え
ていないといけないのである。
ISO/IEC Guide 51では、設計者等が想定した使用法(intended use)のみならず、「合理的に予見可能な誤使
用」(reasonably foreseeable misuse)も含んだ範囲でリスクを評価し、受け入れ可能なレベルに達するまで、リ
スク低減を行う反復プロセスを図示している。(図2参照)
「合理的に予見可能な誤使用」をリスクアセスメントの範囲とすることを明記したことが極めて重要である。
図2.リスクアセスメントの範囲
ただし、「非常識な誤使用」に対しては、リスクアセスメントの範囲には含めなくても良い。
しかしながら、消費者側・ユーザ側が許容可能なリスクというのは、社会通念の変化によって変化する。
例えば、ある少女が猫をリンスした後、寒いだろうから早く乾かせてあげるために、電子レンジに入れてし
まったということがある。生産者側はそんなことをするとは、思ってもみなかったのである。猫を電子レン
ジで暖めてあげるというのは、常識的な行為だろうか、そこまで生産者は考えて製品をつくらないといけな
いのだろうかということである。
ひょっとすると、時代が変われば、さらに予見できないリスクがもっと露見するのかもしれない。社会通
念で許容可能なリスクというのは変化するのである。
もう1つの事例として、より洗浄能力を高めようとして、洗濯機に50度のお湯を入れた主婦がいるのであ
る。洗濯槽が曲がってしまって動かなくなった。もちろん設計者は50度のお湯を入れるということは想定し
ていなかったのである。あまった風呂の湯を再利用することは想定していたが、風呂の湯は50度にはならな
いので、恐らく40数度の設計だったのである。それ以降は設計を50度以上の熱湯でも耐えられるような部
材に変えたという事例がある。
5.2 誤使用の例
医療機器以外での誤使用、不注意に分類される事故例としては、ガスコンロの消し忘れで火がついてしま
った、少ない油で天ぷらを揚げて火災になった、換気扇を回さずにガス湯沸かし器を使って一酸化炭素中毒
になってしまったなどがあり得る。
リビングや寝室では、石油ストーブに洗濯物が落下して火災が発生した、付近の可燃物が発火した。湯た
んぽでは低温やけどが発生した、電池を逆に入れてしまって破裂した、間違ってボタン電池を飲み込んでし
まったなどが実際に起きている。
このようなことを含め、生産者はあらたな誤使用というリスクを発見した場合、そのリスクを回避するよ
うな設計に変更にしなければならないのである。
または、誤使用を未然に防止するよう、ラベルなどに注意書きを記載しておかなければならない。例え
ば、レーザーポインターには、「直接、目でのぞかないでください。」と注意書きが貼ってある。または携帯
用のカイロでは「肌に直接貼らないで下さい。低温やけどの恐れがあります。」と記載がある。
それでも、人は必ず間違いを起こすのである。
1980年の日航ジャンボ機の墜落事故は、ボーイング社の修理ミスだといわれている。医療事故では輸血す
るときに血液型を間違えたとか、患者を取り違えたとか、薬品を間違った、手術のときに左右の肺を間違え
た、そういったこともしばしば発生している。
株の大量誤発注という事件もあった。61万株を1株1円で売りに出してしまった、数量と金額を逆に間違
えて入力してしまったのが原因である。その際、東証のコンピュータには、発注取り消しという機能が設計
されておらず、被害が拡大した。
6. ISO-14971
6.1 ISO-14971とは
ISO-14971「医療機器 - リスクマネジメントの医療機器への適用」は、医療機器企業が体外診断用医療機
器を含む医療機器に関連するハザードを特定し、リスクの推定および評価を行い、これらのリスクをコント
ロールし、そのコントロールの有効性を監視する手順について規定しているというものである。
ISO-14971は、リスクマネジメントの原則と実践について示したものである。
ISO-14971は、医療機器に関する幾つかの主要な規格において参照されている。例えば、ISO-13485(医療
機器の品質マネジメントシステム)、IEC 60601-1(電気安全性)、IEC/EN 62366(医療機器の使い易さ)、ISO
10993(生物学的評価)、IEC62304(医療機器のソフトウェア)などである。
ISO-14971で示されたリスクマネジメントのプロセスは、次のような内容となっている。
1)医療機器に付随し、患者または医療従事者をリスクに曝す可能性のある危険もしくは危険な状況を特定する。
2)そうしたリスクが発生する可能性を推定し、それによってもたらされる結果の程度を評価する。
3)医療機器の中に、または生産工程に積極的な予防措置を構築・実施し、リスクを制御する。
4)プロセスを定期的に審査および監視し、リスクマネジメントコントロールとリスクマネジメントプ
ロセスの効果を評価する。
6.2 ISO-14971の適用範囲
ISO-14971は、組織の営業活動から設計開発、製品製造、検査測定、製品納入、付帯サービスおよび市販後
の調査に至るすべてのライフサイクル活動に適用される。
しかしながら、大事なのは、医療機器の「設計・開発」プロセスにおいて、リスクマネジメント活動の結
果を取り入れて活動しなければならないということである。医療機器は医薬品と異なり、製造工程よりはむ
しろ設計工程でリスクマネジメントを主に実施しなければならない。
設計・開発が適用除外される医療機器であっても、製品実現全体をとおしてリスクマネジメントのための
文書化された要求事項を確立することが要求されている。
リスクマネジメントの活動対象範囲は、組織が製造する製品すべてが対象となる。少量多品種であっても
その一部を適用除外することは出来ない。また、付属品等も適用対象になる。
ただしISO-14971は、臨床的判断には適用しない。また、受容可能なリスクレベルを規定していない。
6.3 ISO-14971の経緯
ISO-14971の経緯を紹介する。(図3.参照)
図3.ISO-14971の経緯
EUでは1993年にMedical Devices Directive(MDD)93/42/EECが施行された。これにより機器のリスクに応じたクラス分類により管理することとなった。MDDにおける危険回避は、すべての機器に対して基本要件
の適合を義務づけることにより行われている。そのため、リスク分析が採用され、preEN1441が作成され
た。その後、1997年にEN 1441が正式にMDDとして発行された。
ちなみにENというのはEuropean Normの略である。Norm(ノーム)というのはロシア語のノルマのこと
である。ノルマというのは、達成しないといけない基準のことをいう。
1998年に、ISO/IECは共同作業として、ISO-14971-1「第1部・リスク分析の適用」を発行した。この内容
はEN1441同様、リスク分析を主にしたもので、以下、第2部、第3部を発行させる予定であったといわれ
ている。
2000年12月、ISO-14971「医療機器へのリスクマネジメントの適用」を発行した。この規格にはISO-
14971-1の内容が含まれている。
2003年3月、難解な記述の多いISO-14971のガイダンスが必要となり「AMENDMENT1・要求事項の理論
的根拠」を発行した。
2007年には、ISO-14971 Ed.2が発行され、現在のところ最新である。
日本ではISO-14971:2007年版が、2012年にJIS T 14971「医療機器−リスクマネジメントの医療機器へ
の適用Ed2」として発行されている。
ISO-14971 Ed.2は、メンテナンス時機が到来しており、GUIDE 51、73による GUIDE 63に対する変更の
影響が懸念される。
6.4 ISO-14971の構成
ISO-14971の目次を図4に記載する。
図4.ISO-14971の目次
6.5 IEC-60601-1とISO-14971
IEC-60601-1には、「ISO-14971に適合するリスクマネジメントプロセスを実施する。」という要求事項があ
る。また、要求事項の適合性の確認について、「適合性は、リスクマネジメントファイルを調査して確認す
る」と記載がある。
しかし、IEC-60601-1の要求事項に適合していれば、その要求事項についてはリスクマネジメントを実施し
なくても良いという「基礎安全」の考え方を取り入れている。
つまり、機器全体はリスクマネジメントISO-14971の管理下にあるが、その中でIEC60601-1の要求事項に
よる部分があるということである。
IEC-60601-1の要求事項では、副通則であるEMC(IEC60601-1-2)、alarm(IEC60601-1-8)、usability
(IEC60601-1-6)も含まれている。
7. EN ISO-14971
2012年7月31日、EN ISO-14971: 2009は、EN ISO-14971:2012に置き換わり、2009年版は2012年8月30
日の時点で廃止された。
EU地域では、EN ISO-14971:2012は、2013年1月より強制になった。EU圏へ輸出する製品への影響を評
価する必要がある。各国・地域の対応は、その国・地域の事情もあって独自路線をとるのはいたしかたない
ところである。
EN ISO-14971:2012は、ISO-14971:2007の規定についての相違はないが、informative(参考)である附属書
Zs(Za、Zb、Zc)が変更されている。3つのEU医療機器指令(MDD:Medical Device Directive)の基本要件
(ER:Essential Requirements)の一部を加えたものになっている。
EN ISO-14971:2012は、以下の7つの点において、ISO-14971:2007と異なっている。
1)
“negligible risk”(無視可能なリスク)の扱い
2)リスクの受容可能性についての医療機器企業の自由裁量権
3)ALARP(as low as reasonably possible:合理的に実行可能まで低く)ではなく、AFAP(as far as
possible:可能な限り)のリスク低減
4)あらゆるリスクに対するRisk/Benefit Analysis(リスク/便益分析)の適用
5)リスクコントロール手段についての裁量
6)初期リスクコントロール手段についての裁量
7)残存リスクについてのユーザへの情報提供
この7つの点で、EN ISO-14971:2012は、ISO-14971に比べて厳しくなっている。
7.1.1 “negligible risk”(無視可能なリスク)の扱い
“negligible risk”(無視可能なリスク)の扱いとして、ISO-14971の定義では“negligible risk”(無視可能な
リスク)を放棄することができる場合があると記載されている。
EN ISO-14971では、全てのリスクについて、リスクマネジメントを実施しなければならないと記載され
た。
7.1.2 リスクの受容可能性についての医療機器企業の自由裁量権
ISO-14971では、リスクの受容可能性の基準は医療機器企業が決定することになっている。その上で、受容
不可能なリスクに対してのみ、それらを統合した全体のリスク/便益分析を行うこととしている。
EN ISO-14971では、医療機器企業がリスクの受容可能性を判定するのではなく、全てのリスクは可能な限
り低減されなければならないとしている。
EN ISO-14971では、もはや受容可能性という概念はないに等しく、全てのリスクは他のリスクと組み合わ
せてリスク/便益分析を実施しなければならない。
7.1.3 ALARPではなくAFAPによるリスク低減
ALARP(as low as reasonably possible:合理的に実行可能まで低く)ではなく、AFAP(as far as possible:可
能な限り)によるリスク低減を要求している。
ISO-14971では、リスクは「合理的に実行可能な程度まで(ALARP)」低減することと記載されてい
るが、これは経済性を考慮した要求である。あまりにも規制を厳しくすると、コンプライアンスコストが
上昇し、製品の価格に上乗せされ、結果的には患者負担になってしまう。
EN ISO-14971では、「可能な限り(AFAP)」低減することを要求しているのである。
リスクを徹底的に低減するということは、開発コストがかかってしまい、経済性を無視しているという
ことである。
7.1.4 あらゆるリスクに対するリスク/便益分析の適用
ISO-14971では、受容可能性を超えるリスクに対して、リスク/便益分析を要求している。
EN ISO-14971では、個々のリスクおよびすべての残存リスクに対するリスク/便益分析を要求してい
る。
7.1.5 リスクコントロール手段についての裁量
ISO-14971では、下記3つのオプションから1つを選んでリスクコントロールを実施することを要求
している。
1)
設計による固有の安全性の確保2) 機器そのものまたは製造プロセスによる保護
3) 安全のための周知(取扱説明書、ラベル)
上記は、優先度順である。
EN ISO-14971では、安全性の観点から、最先端のリスクコントロール手法を検討することを要求し
ている。リスクコントロール手段を組み合せることによる安全性の確保を要求している。そして上記3つ
のオプションを組み合せることを要求しているのである。つまり1つでは駄目で、最低2つ組み合せな
ければならない。
7.1.6 初期リスクコントロール手段についての裁量
ISO-14971では、設計による固有の安全性を要求している。
これに対し、EN ISO-14971では、可能な限りリスクを低減させることを要求している。設計および材
料・組立による安全性を要求しており、範囲が広い。
7.1.7 残存リスクについてのユーザへの情報提供
ISO-14971では、残存リスクについてのユーザへの情報提供は、リスクコントロール手段の1つであ
るとしている。取扱説明書に記載するというのも、リスクコントロールの1つなのである。
EN ISO-14971では、残存リスクについてのユーザへの情報提供はリスク低減手段ではないとしてい
る。
8. リスクマネジメント手順
本章では、設計開発のインプットとなるリスク分析、リスクを低減するためのリスクコントロール、リス
クの受容可能性の決定とリスク/便益分析、また製造中および製造後の情報によるリスクマネジメントの見直
しといった、医療機器のリスクマネジメント手順について解説をする。
リスクマネジメント手順は、以下のステップにより構成される。
1) 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化
2) ハザードの特定
3) リスクの推定
4) リスクの評価
5) リスクコントロール手段の明確化
6) IEC-62304によるソフトウェアに関する分析
7) リスクコントロール手段の実施と文書化
8) 残留リスクの評価
9) リスク/便益分析
10) 新たなハザードの発生
11) リスク評価の完了
12) 全体的評価
上記のステップを、リスクマネジメントワークシート(図5参照)を用いて実施し、文書化する。
図5.リスクマネジメントワークシート
8.1 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化(Step-1)
このステップでは、対象となる医療機器について、意図する使用および合理的に予見できる誤使用を明確化する。
必要な場合には、安全に影響する定性的および定量的特性または必要な場合には限界を明確にする。
ユーザビリティに関係するハザード抽出のため、
1) 用途仕様
2) タスクに関する要求事項
3) 使用状況
4) 同種の医療機器からの情報
5) 仮の使用シナリオ
6) 考えられる使用ミス
7) 誤ったメンタルモデル
8) ユーザインタフェース等のレビュを行う。
8.2 ハザードの特定(Step-2)
このステップでは、当該医療機器に対する既知のハザードおよび予見できるハザードを特定する。(図6参照)
図6.医療機器におけるハザードの例
また、対象となる医療機器について、意図する使用および合理的に予見できる誤使用を明確化する。
必要な場合には、安全に影響する定性的および定量的特性、または必要な場合には限界を明確にする。
特定されたハザードに対して、発生順序または組合せを考慮して、「危険状態」および「危害」の内容を明
確にする。例えば、機器内で発火して熱を持っている状態が「危険状態」である。これに人が接触した場
合、火傷という「危害」つまりリスクが発生するのである。
特定した各ハザードに対して、正常、故障、誤使用といった状態を識別する。
たとえ機器が正常に動作していたとしても、ヒトに対して有害な事象が発生する場合もあり得る。また、
機器が故障し、危害につながる恐れもある。さらに、機器は正常に動作しているが、操作ミス、装着ミス、
データ入力ミスなどのヒュー マンエラーにより、危害が発生する場合もある。
8.3 リスクの推定(Step-3)
Step-2で特定した「危害」つまりリスクに対して、「発生確率」および「重大性」を推定する。
いずれも定量的な表現か、または定性的な表現が用いられる。(図7参照)
図7.発生確率と重大性
「発生確率」は、類似製品における実績データや、供給者からの情報、耐久性試験などから求める。
「発生確率」の定量的な表現としては、10-xといった数値がしばしば用いられる。またはppm(parts per million:百万分率)
と呼ばれる単位で表すこともある。10-6の場合は1ppmであり、10-7の場合は0.1ppmである。
「発生確率」の定性的な表現としては、「頻発する」、「しばしば発生する」、「時々発生する」、「起こりそうにない」、
「まず起こり得ない」、「考えられない」などがある。
「重大性」は、「死亡」、「重症・入院加療」、「通院加療」、「軽傷」、「無傷」といった定量的な表現と、「致命的」、
「重大」、「中程度」、「軽微」、「なし」といった定性的な表現がある。
8.4 リスクの評価(Step-4)
Step-3で求めた発生確率と重大性から、リスクレベルを算出する。
リスクレベル=重大性×発生確率であるので、図7に従って、A3、A2、A1、B3、B2、B1、Cのいずれかになる。
リスクマネジメントワークシートに記載する際には、A、B、Cのいずれかで良い。
8.5 リスクコントロール
Step-4で求めたリスクレベルにより、リスクコントロールの要・不要(リスクの許容可能性)を判定する。
リスクレベルがB以上の危険状態については、以下を実施する。
8.5.1 リスクコントロール手段の明確化(Step-5)
リスクレベルの低減のための手段(リスクコントロール手段)を明確化する。
リスクコントロール手段としては、次の優先順位に従い、それらの1つ以上を使用すること。
1) 設計による本質的な安全を図る。
ハードウェア設計やソフトウェア設計を組合せて、リスクの発生確率を低減したり、リスクの重大性
を低減する。
2) 機器自体または製造工程における防護手段を設ける。
3) 安全に関する情報を提供(開示)する。
添付書類、取扱説明書などの付属文書または製造作業手順書等へ記載する対策を採る。
リスクコントロール手段には、ハードウェアの設計によるもの、ソフトウェアの設計によるもの、保護
(防護手段)によるもの、取扱説明書やラベルなど情報によるものに分類され、それらの組合せによって、
リスクを低減するのである。
ME機器の設計においては、メカ部門、エレキ部門、ソフトウェア部門がコミュニケーションを図って、
リスクコントロールを設計することが重要である。
8.5.2 IEC-62304によるソフトウェアに関する分析(Step-6)
ソフトウェアを搭載した医療機器(単体プログラムを含む)の場合、IEC-62304の要求に従って、ソフトウ
ェアの設計を実施しなければならない。
一般にソフトウェアの設計では、ソフトウェア要求仕様書(Software Requirements Specifications:SRS)に
従って、アーキテクチャ設計書を作成する。
アーキテクチャ設計書は、ソフトウェア要求仕様書に対応するソフトウェアの機能を記述し、さらに各機
能をソフトウェアアイテムに分割する。ソフトウェアアーキテクチャ設計の終了は、開発における最も初期
のポイントである。ソフトウェアアイテムの明確化により、安全性との関連が特定可能になる。
IEC-62304では、アーキテクチャ設計において分割されたソフトウェアアイテム毎に、ソフトウェアアイテ
ムが寄与因子であり得るハザードから生じる、患者、オペレータまたはその他の人々に対する考えられる影
響により、ソフトウェア安全クラスを割り当てることを要求している。
ソフトウェア安全クラスは、危害の程度に基づいて次のいずれかに分類する。
クラスA:傷害が発生しない
クラスB:深刻な傷害が発生しない
クラスC:死亡または深刻な傷害が発生するおそれがある
ただし、ハザードから生じる危険が、ハードウェアのリスクコントロールにより受容可能なレベルに低減
できるのであれば、それらを考慮に入れても良いとしている。
8.5.3 リスクコントロール手段の実施と文書化(Step-7)
選択したリスクコントロール手段を実施する。つまり、ハードウェアやソフトウェアによる安全装置の設計や、取扱説明書やラベルなどに使用女王の注意などを記載する等である。
実施したリスクコントロール手段は、それぞれの設計書等に文書化すること。
また、リスクコントロール手段が適切で有効であることを検証した記録を作成すること。
8.6 残留リスク評価(Step-8)
リスクコントロール実施後に残留するリスクレベルを評価する。リスクコントロール実施により減少した発生確率および重大性を求め、リスクレベルを算出する。
リスクレベル=重大性×発生確率
リスククラスが、図7においてCになっていれば、受容可能と判断する。
受容可能であると判断した残留リスクについては、どの情報を提供(開示)するか、かつ、どの附属文書に記載するかを決定すること。
リスクレベルが受容可能なまで低減されていない場合は、Step-5に戻り、リスクコントロール手段を明確化すること。
特定した全ての危険状態からのリスクが考慮されていること(リスクコントロールの完全性)を明確にすること。
8.7 リスク/便益分析(Step-9)
Step-8において、受容可能でないと判断し、かつ、それ以上のリスクコントロールの実施が現実的でない場合、データおよび文献を収集し、かつ、見直した上で、意図する使用の医学的効用が残留リスクを上回るかどうか判断する。
重大性が「重大」、「中程度」「軽微」と判定されたリスクであっても、リスク/便益分析を実施すること。
ただし、重大性が「致命的」なリスクが残留した場合は、その製品の開発を打ち切らなければならない。
8.8 新たなハザードの発生確認(Step-10)
リスクコントロール手段の実施によって、新たなハザードが発生し、影響が出ていないかを調査する。以
下を考慮すること。
1) 新しいハザードまたは危険状態が発生していないか
2) 以前に危険状態に対して推定したリスクレベルが、リスクコントロール手段の実施によって影響を受
けていないか
新しいリスクまたは増加したリスクがあれば、Step-3に戻ってリスクマネジメント活動を再度実施するこ
と。
8.9 リスク評価の完了(Step-11)
上記のすべてのステップを踏み、リスクマネジメント活動が適切かつ完全に文書化されていることを確認した上で、個々の危険状態に対する一連のリスク評価活動が終了する。
完了した日付を、リスクマネジメントワークシートに記載すること。
8.10 残留リスクの全体的評価(Step-12)
すべての危険状態に対して、残留リスクの全体的な評価を行う。結論としては、当該機器における残留リスクが受容できるか、受容できないかのいずれかとなる。
ここで、重大性が「致命的」なリスクがあってはならない。
また、残留リスクのリスククラスがB以上のものに対して、医学的効用がリスクを上回るものであることの判定が、根拠をもって実施されていなければならない。
8.11 製造中および製造後の情報によるリスクマネジメントの見直し手順
製造中および製造後に「新たな問題」が発生していないかを調査する。新たな問題が発生している場合は、
リスクの再評価を行うこと。
次の検討を行う。
1) 以前に認識されなかったハザードまたは危険状態があるか
2) 以前に推定したリスクが、もはや受容できないものになっていないかどうか
問題の発生が認められる場合は、新たな問題をハザードとして、一連のリスクマネジメント活動を行う。
つまり、当該機器ごとに作成されRMFに保管されたリスクマネジメントワークシートに、新たに発見された
ハザードを追記する。
リスクに対する再評価を実施した場合は、その記録を文書化すること。
製造中および製造後の新たな問題に関する情報源には、下記のようなものが考えられる。
1) 顧客からの苦情
顧客からの苦情は、「顧客苦情管理規程」に基づき収集し、管理する。
2) 新規に制定された、あるいは、改正された法規制等によって、それ以前に設計・開発された製品に
係る規制が追加・変更される事項
3) 当該製品または類似製品で明らかになった安全性管理情報で、当該製品に当てはまる事項
これは「GVP規程」による安全管理情報の監視から得る。
4) 製造に関わる情報
例えば、製造に使用する装置のメーカーから、メンテナンス期間の短縮等の情報が新たに寄せられる
など、製造に関わる新たな情報が明らかになった場合。
この情報は製造担当部門が収集する。
9. 体外診断用医療機器(IVD)のリスクマネジメントモデル
体外診断用医療機器(体外診断用医薬品を含む)は、患者に直接接触することはない。つまり、当該体外診断用医療機器の欠陥により、患者がけがをすることはない。そのため、リスクの評価があいまいになりがちである。
図8に、体外診断用医療機器のリスクマネジメントモデルを示す。
図8.体外診断用医療機器のリスクマネジメントモデル
医療機器企業が、品質マネジメントシステムや設計管理を不適切に実施した場合、許容できないリスクの
潜在する製品が市場に出荷されることになる。
検査室で当該体外診断用医療機器の不具合・故障による部品等の損失等が発生した場合、財産上の危害が
発生する。ISO-14971においては、財産の害も危害の定義に加えていることに注意が必要である。財産上の危
害だけで済む場合はまだ良いが、オペレータ(検査技師)が傷害を負ったり、死亡に至るようなことがあっ
てはならない。
また、当該体外診断用医療機器の不具合・故障により、誤った検査結果が出力された場合、患者への危害
の原因となってしまう。例えば、悪性の腫瘍を良性と診断したり、異常な値を検出できなかったりした場合
などである。その場合、医師が適切な治療をタイムリーに実施できなかったり、医薬品の処方を間違ったり
といった誤治療が発生する。
また、当該体外診断用医療機器から出力された検査結果を、医師が誤解釈したり、誤診断してしまうなど
のヒューマンエラーも考えられる。やはりこの場合においても、誤治療が発生する。
誤治療は、患者への危害の原因になる。誤治療によって、患者に異常が発生したり、病状が悪化し、傷害
や死亡といった具体的な危害が発生することになる。
