株式会社イーコンプライアンス

１日目：サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー　2025年3月12日（水）13:30～16:30

サイバーセキュリティに関する医療機器規制は2023年4月1日に重要な転換点を迎え、基本要件基準第12条にサイバーセキュリティ対策が追加されました。これにより、プログラムを使用する医療機器の製造販売企業には、包括的なサイバーセキュリティ対策の実装が必須となりました。
この規制の中心となるのは、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）という規格です。この規格はヘルスソフトウェアの製品ライフサイクル全体にわたるセキュリティ要件を定めており、既存のIEC 62304対応手順書に統合する必要があります。また、産業用自動制御システムのセキュリティ要求事項を定めたIEC 62443-4-1への適合をサポートする重要な役割も担っています。
さらに、国際的な医療機器規制当局である IMDRFが発行したガイダンスの追補を受けて、日本では「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発行されました。この手引書ではSBOMの管理方法、レガシー医療機器への対応方針、脆弱性への対処方法、そしてインシデント発生時の対応手順など、実務的な指針が示されています。
医療機器へのサイバー攻撃は深刻なリスクをもたらす可能性があります。検査・診断装置では検査の中断や誤診断につながる可能性があり、治療装置では治療の中断を引き起こす可能性があります。特に放射線治療に使用される線量計算プログラムでは、過剰照射や過少照射といった重大な事態を引き起こす可能性があります。また、一つの医療機器への攻撃が、接続された医療機関のネットワーク全体に波及し、他の医療機器やシステムにも影響を及ぼす可能性があることも重要な懸念事項です。
これらの課題に対応するため、医療機器企業には包括的なセキュリティ管理体制の構築と、それを支える適切な手順書の作成・運用が求められています。これらの取り組みは、患者安全の確保と医療サービスの継続性維持のために不可欠となっています。

２日目：【IEC 62304】医療機器ソフトウェア対応　2025年3月13日（木）13:30～16:30

医療機器ソフトウェア開発は、従来の医療機器業界だけでなく、製薬企業やスタートアップ企業など、幅広い分野で活発化しています。特に注目を集めているのが、デジタルセラピューティクス（DTx）と呼ばれるソフトウェアを活用した治療法で、これはSaMD（Software as a Medical Device）または単体プログラムとして規制されています。このような技術は、患者や医師に新たな治療選択肢を提供し、製薬企業にとっては従来の医薬品以外の収益源となる可能性を秘めています。
2017年11月以降、日本における医療機器プログラムの開発では、IEC 62304が実質的な規制要件となりました。この規格は2006年に発行され、2012年に日本でJIS T 2304として規格化されました。2014年の医薬品医療機器法における「最新のライフサイクルモデル」として参照され、米国FDAでも2008年にRecognized Consensus Standardとして認定されています。この規格は医療機器ソフトウェアの開発と保守に関するプロセスを規定しており、日本だけでなく、欧州、北米、中国などでも医療機器申請時に必要な要件となっています。
しかし、IEC 62304は非常に複雑で理解が困難な規格とされています。企業からは、規格の具体的な実装方法や対応範囲が不明確である点、ISO 13485の設計開発プロセスとの関連性が分かりにくい点など、多くの課題が指摘されています。また、プロセス規格という性質上、各社の解釈によって手順書の内容に大きな差異が生じやすいという問題も存在します。このような状況において、IEC 62304への適切な対応は、医療機器ソフトウェアの開発と販売において極めて重要な課題となっています。

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。