株式会社イーコンプライアンス

医療機器企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器業界では、欧州が先行し、90年代からIOS-14971が制定されました。
医療機器には何がしかのリスクが潜んでいます。リスク分析の結果は、設計管理のインプットとなります。
医療機器事故は、ユーザの意図した利用と設計者の思想のギャップによって起こるとされています。

昨今では、ユーザビリティを含め、合理的な誤使用を予測したリスク分析が求められています。
演者は多くの医療機器企業においてリスクマネジメントの指導を行ってきましたが、各社ともに我流で実施していることが多いようです。 
それでは、医療機器の安全が確保できず、また回収（改修）も減少しません。
そのためには、リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本セミナーでは、難解なリスクマネジメント・ISO-14971:2019を初心者にもわかりやすく解説いたします。
またユーザビリティエンジニアリングも解説します。

医療機器企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器業界では、欧州が先行し、90年代からIOS-14971が制定されました。
医療機器には何がしかのリスクが潜んでいます。リスク分析の結果は、設計管理のインプットとなります。
医療機器事故は、ユーザの意図した利用と設計者の思想のギャップによって起こるとされています。

昨今では、ユーザビリティを含め、合理的な誤使用を予測したリスク分析が求められています。
演者は多くの医療機器企業においてリスクマネジメントの指導を行ってきましたが、各社ともに我流で実施していることが多いようです。
それでは、医療機器の安全が確保できず、また回収（改修）も減少しません。
そのためには、リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本セミナーでは、難解なリスクマネジメント・ISO-14971:2019を初心者にもわかりやすく解説いたします。

2022年にPIC/S GMP Annex1において、「エンドトキシン/パイロジェン」とパイロジェンの記述が追記されました。「パイロジェンとエンドトキシンの区別」を再認識していただき、エンドトキシン・パイロジェン試験法の重要性をお伝えするとともに、エンドトキシン試験法・パイロジェン試験法が各局方の情報も踏まえこの機会にご説明させていただきます。

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。

【IEC 62304】医療機器ソフトウェア対応】　
医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。


【サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー】
サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

医療機器製造販売業者は、QMS省令に基づき、品質管理システム（QMS）の構築が求められています。
しかしながら、医療機器に関する規制要件は難解です。
いったいどのように理解し、どのようなQMSを構築すれば良いのでしょうか。

本セミナーではQMS省令が要求する品質管理システムの内容について分かりやすく解説します。
（注：GVP省令に関する内容は含んでおりません。）

【超入門】　
コンピュータバリデーションに関する超入門編です。
はじめてバリデーションを学ぶ方に最適なセミナーです。
CSV規制の歴史をご紹介した上で、製薬業界のスタンダードであるGAMP 5をわかりやすく解説します。
CSVを実施する上で知っておかなければならないことは、構造設備とITアプリケーションでは、バリデーションの方法が全く違うということです。
しかしながら、これまで構造設備とITアプリケーションの違いについて解説を行うセミナーはありませんでした。
システムを4つに分類し、それぞれのCSV実施方法を解説いたします。
本セミナーでは、初心者の方に向けて、CSVを超わかりやすく解説いたします。

【中級編】　
CSVに関するセミナーや書籍は沢山ありますが、実際のCSVの成果物の作成方法を解説したものはほとんどありません。
百聞は一見にしかずです。 ぜひ具体的な文書の例を見て、CSV実施方法を体感してみてください。
本セミナーでは、実際のCSV成果物を開示しながら、成果物の作成方法とノウハウを徹底的に伝授いたします。
長年に渡ってCSVを実践してきた経験から、難解なGAMP 5をわかりやすく、適切かつ高効率な対応方法を解説いたします。

これまで入門コースを受講された方にとって、次のステップアップとなるCSV担当者必見のセミナーです。

コンピュータバリデーションに関する超入門編です。
はじめてバリデーションを学ぶ方に最適なセミナーです。
CSV規制の歴史をご紹介した上で、製薬業界のスタンダードであるGAMP 5をわかりやすく解説します。
CSVを実施する上で知っておかなければならないことは、構造設備とITアプリケーションでは、バリデーションの方法が全く違うということです。
しかしながら、これまで構造設備とITアプリケーションの違いについて解説を行うセミナーはありませんでした。
システムを4つに分類し、それぞれのCSV実施方法を解説いたします。

本セミナーでは、初心者の方に向けて、CSVを超わかりやすく解説いたします。

CSVに関するセミナーや書籍は沢山ありますが、実際のCSVの成果物の作成方法を解説したものはほとんどありません。
百聞は一見にしかずです。 ぜひ具体的な文書の例を見て、CSV実施方法を体感してみてください。
本セミナーでは、実際のCSV成果物を開示しながら、成果物の作成方法とノウハウを徹底的に伝授いたします。
長年に渡ってCSVを実践してきた経験から、難解なGAMP 5をわかりやすく、適切かつ高効率な対応方法を解説いたします。

これまで入門コースを受講された方にとって、次のステップアップとなるCSV担当者必見のセミナーです。