株式会社イーコンプライアンス

医療機器企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器業界では、欧州が先行し、90年代からIOS-14971が制定されました。
医療機器には何がしかのリスクが潜んでいます。リスク分析の結果は、設計管理のインプットとなります。
医療機器事故は、ユーザの意図した利用と設計者の思想のギャップによって起こるとされています。

昨今では、ユーザビリティを含め、合理的な誤使用を予測したリスク分析が求められています。
演者は多くの医療機器企業においてリスクマネジメントの指導を行ってきましたが、各社ともに我流で実施していることが多いようです。
それでは、医療機器の安全が確保できず、また回収（改修）も減少しません。
そのためには、リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本セミナーでは、難解なリスクマネジメント・ISO-14971:2019を初心者にもわかりやすく解説いたします。

製薬企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器業界では、欧州が先行し、90年代からIOS-14971が制定されました。
しかしながら、医薬品業界は、2005年にICH-Q9「品質リスクマネジメントに関するガイドライン」が合意され、翌年から本邦においても施行されています。
つまり20世紀は製薬業界において品質リスクマネジメントの概念がないまま、要員の経験と勘でリスクが管理されてきました。

品質リスクマネジメントは、特定の部署だけが対応したり、手順書を作成するだけではありません。
研究開発、臨床開発、製造販売後、流通、申請、査察にいたる製品のすべてのライフサイクル全般について、すべての部署がそれぞれの手順にリスクマネジメントの概念を取り込まなければなりません。
そのためには、品質リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本セミナーでは、難解なリスクマネジメントを初心者にもわかりやすく解説いたします。

2022年にPIC/S GMP Annex1において、「エンドトキシン/パイロジェン」とパイロジェンの記述が追記されました。「パイロジェンとエンドトキシンの区別」を再認識していただき、エンドトキシン・パイロジェン試験法の重要性をお伝えするとともに、エンドトキシン試験法・パイロジェン試験法が各局方の情報も踏まえこの機会にご説明させていただきます。

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。

【IEC 62304】医療機器ソフトウェア対応】　
医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。


【サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー】
サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

医療機器製造販売業者は、QMS省令に基づき、品質管理システム（QMS）の構築が求められています。
しかしながら、医療機器に関する規制要件は難解です。
いったいどのように理解し、どのようなQMSを構築すれば良いのでしょうか。

本セミナーではQMS省令が要求する品質管理システムの内容について分かりやすく解説します。
（注：GVP省令に関する内容は含んでおりません。）

2022年9月13日付で、FDAがドラフトガイダンス「Computer Software Assurance for Production and Quality System Software」（以下、CSAガイダンス）を公開しました。
CSAガイダンスは医療機器の製造または品質システムの一部として使用される、コンピュータシステムおよび自動データ処理システムのためのコンピュータソフトウェア保証に係る推奨事項を提供するものです。

現状では、医療機器企業における最終製品の品質保証においてCSV要求が最も高い障壁となっています。
現在、規制要件で要求されているCSV（Computerized System Validation）は、文書化要求が多く、実施のためには時間、労力、コストがかかるという問題点がありました。しかも、CSVで作成される文書は、製品の品質保証や患者の安全性の担保のために使用されるものではなく、監査や当局査察に提示する目的で作成されてきました。
つまり、無駄にコンプライアンスコストを消費してしまっているという問題がありました。
企業が費やしたコンプライアンスコストは、治療費や薬価等に転嫁され、結果的には患者負担になっていました。
こういった問題点を解決すべく、FDAの医療機器センターであるCDRHは、2011年からCase for Quality Programを推進し、業界やGAMPを巻き込んで、CSAガイダンスの作成を実施してきました。
CSAガイダンスは、これまでのCSVにおける“煩雑さ”を取り除くものとなりました。

CSAガイダンスは、医療機器の製造または品質システムに使用されるソフトウェアの信頼を確立し、追加的に厳密な保証を行うことが適切である場合を特定するためのリスクベースのアプローチによってコンピュータソフトウェアを評価するためのものです。
さらに、CSAガイダンスは21 CFR Part 820 (QSR)で求められるコンピュータソフトウェアの検証に係る要求を満たすための、客観的な証拠を提供するために適用できるさまざまな方法とテスト活動についても説明しています。

CSAガイダンスはCDRHが主管していますが、ヒト用医薬品のセンターであるCDER（Center for Drug Evaluation and Research）およびバイオ医薬品のセンターであるCBER（Center for Biologics Evaluation and Research）も協力して活動しています。
さらにCSAガイダンスの策定には、ISPEのGAMPワーキングチームも加わっています。
つまり医療機器のみならず、医薬品にも対応できるものです。
また、CSAガイダンスは、1997年に施行された21 CFR Part 11 “Electronic Records; Electronic Signature”に代わる新しいコンピュータシステムにおけるFDA共通のガイダンスともなります。

CSAガイダンスの適用範囲は、医薬品や医療機器の製造、測定・分析、品質システムの履行に使用するソフトウェアが対象となります。
品質システムの履行に使用するソフトウェアとは、具体的にはERP、LIMS（ラボデータベース）、LMS（教育管理システム）、EDMS（ドキュメント管理システム）、イベント管理システム（苦情・CAPA管理システム）などが相当します。

コンピュータシステムで大事なことは、患者の安全性、データインテグリティ、製品の品質などを担保することです。
そのため、直接的ではなく、間接的にそれらに影響するシステム（例：教育管理システム）などはいたずらに文書数や文書量を増やす必要はありません。
例えば、必ずしもテストスクリプトを作成する必要はありません。大事なことはテスト結果を注視することです。
ただし、文書や記録がないということは、実施していないとみなされることになるという原則は変わりません。
また文書間におけるトレーサビリティマトリックスも依然として重要です。

本セミナーでは、CSVとCSAの相違点を分かりやすく解説いたします。

医療機器が高度化、複雑化するにつれて、ヒューマンエラーの発生が多発しています。
ユーザビリティエンジニアリングは医療機器設計において欠かすことができない要素の一つであり、 かつ当局の関心が非常に高い分野でもあります。

2016年2月にFDAは「Applying Human Factors and Usability Engineering to Medical Devices」と呼ばれるガイダンスを発行しました。
また2007年にユーザビリティエンジニアリングの国際規格として IEC 62366:2007 が発行され、IEC 62366-1:2015 として改正されています。
本邦においても、IEC 62366-1:2015がJIS T 62366-1:2019「医療機器―第１部：ユーザビリティエンジニアリングの医療機器への適用」として発行されました。
さらに欧州では、MDD から MDRへの改正において、ユーザビリティに関する要求事項が強化されています。

医療機器設計開発においてはFDAガイダンスやIEC62366-1:2015に従い、人間工学的な要素を取り入れ、適切にユーザーインターフェースに注目したリスクマネジメントを実施する必要があります。
これまではリスクマネジメントに包含されてきましたが、今後はユーザビリティエンジニアリング（ヒューマンファクターエンジニアリング）は、独立して実施しなければなりません。
では、いったいリスクマネジメントとユーザビリティエンジニアリングでは何が異なるのでしょうか。
IEC62366-1:2015が要求するユーザビリティエンジニアリングファイルとはどういうものなのでしょうか。
またユーザビリティエンジニアリング実施のためのSOPや様式はどういうものを揃えれば良いのでしょうか。

本セミナーでは、米国FDAの要求事項およびIEC62366-1:2015の要求事項を分かり易く解説いたします。

またユーザビリティエンジニアリング実施のためのSOPの作成方法についても解説いたします。

イーコンプライアンスでは、これまで評判の良かったセミナーをアニメーション化し、初心者にもより分かりやすくした社内教育用ビデオ教材を開発いたしました。
貴社内で医薬品や医療機器規制に関する教育を実施する際に活用して頂くことができます。