株式会社イーコンプライアンス

１日目：サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー　2025年3月12日（水）13:30～16:30

サイバーセキュリティに関する医療機器規制は2023年4月1日に重要な転換点を迎え、基本要件基準第12条にサイバーセキュリティ対策が追加されました。これにより、プログラムを使用する医療機器の製造販売企業には、包括的なサイバーセキュリティ対策の実装が必須となりました。
この規制の中心となるのは、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）という規格です。この規格はヘルスソフトウェアの製品ライフサイクル全体にわたるセキュリティ要件を定めており、既存のIEC 62304対応手順書に統合する必要があります。また、産業用自動制御システムのセキュリティ要求事項を定めたIEC 62443-4-1への適合をサポートする重要な役割も担っています。
さらに、国際的な医療機器規制当局である IMDRFが発行したガイダンスの追補を受けて、日本では「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発行されました。この手引書ではSBOMの管理方法、レガシー医療機器への対応方針、脆弱性への対処方法、そしてインシデント発生時の対応手順など、実務的な指針が示されています。
医療機器へのサイバー攻撃は深刻なリスクをもたらす可能性があります。検査・診断装置では検査の中断や誤診断につながる可能性があり、治療装置では治療の中断を引き起こす可能性があります。特に放射線治療に使用される線量計算プログラムでは、過剰照射や過少照射といった重大な事態を引き起こす可能性があります。また、一つの医療機器への攻撃が、接続された医療機関のネットワーク全体に波及し、他の医療機器やシステムにも影響を及ぼす可能性があることも重要な懸念事項です。
これらの課題に対応するため、医療機器企業には包括的なセキュリティ管理体制の構築と、それを支える適切な手順書の作成・運用が求められています。これらの取り組みは、患者安全の確保と医療サービスの継続性維持のために不可欠となっています。

２日目：【IEC 62304】医療機器ソフトウェア対応　2025年3月13日（木）13:30～16:30

医療機器ソフトウェア開発は、従来の医療機器業界だけでなく、製薬企業やスタートアップ企業など、幅広い分野で活発化しています。特に注目を集めているのが、デジタルセラピューティクス（DTx）と呼ばれるソフトウェアを活用した治療法で、これはSaMD（Software as a Medical Device）または単体プログラムとして規制されています。このような技術は、患者や医師に新たな治療選択肢を提供し、製薬企業にとっては従来の医薬品以外の収益源となる可能性を秘めています。
2017年11月以降、日本における医療機器プログラムの開発では、IEC 62304が実質的な規制要件となりました。この規格は2006年に発行され、2012年に日本でJIS T 2304として規格化されました。2014年の医薬品医療機器法における「最新のライフサイクルモデル」として参照され、米国FDAでも2008年にRecognized Consensus Standardとして認定されています。この規格は医療機器ソフトウェアの開発と保守に関するプロセスを規定しており、日本だけでなく、欧州、北米、中国などでも医療機器申請時に必要な要件となっています。
しかし、IEC 62304は非常に複雑で理解が困難な規格とされています。企業からは、規格の具体的な実装方法や対応範囲が不明確である点、ISO 13485の設計開発プロセスとの関連性が分かりにくい点など、多くの課題が指摘されています。また、プロセス規格という性質上、各社の解釈によって手順書の内容に大きな差異が生じやすいという問題も存在します。このような状況において、IEC 62304への適切な対応は、医療機器ソフトウェアの開発と販売において極めて重要な課題となっています。

サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。