株式会社イーコンプライアンス

■講座のポイント
医療機器のサイバーセキュリティ対策において、生成AI技術を戦略的に活用する最先端の実務手法を学ぶ実践講座です。
IoT医療機器、ネットワーク接続型医療機器の急増に伴い、日米欧で強化されるサイバーセキュリティ規制（FDA Premarket/Postmarket Guidance、MDR、QMS省令改正等）への対応が喫緊の課題となっています。
ChatGPTやClaude等のAIツールを効果的に駆使し、脅威分析の高度化、脆弱性評価の効率化、セキュリティ設計文書作成の最適化、インシデント対応の迅速化を実現します。
受講者全員に実用プロンプト集とサイバーセキュリティ評価テンプレートを提供し、即実践可能なスキル習得を支援いたします。

■受講後、習得できること
・生成AIを活用した医療機器サイバーセキュリティリスクアセスメント（TARA等）の効率的実施手法
・AI支援による脅威モデリング、脆弱性分析、ペネトレーションテスト計画の最適化技術
・FDA・MDR・PMDA要求事項に対応したサイバーセキュリティ文書作成の実践スキル
・インシデント対応計画策定とSOC（Security Operations Center）運用のAI活用ノウハウ
・市販後サイバーセキュリティ管理とSBOM（Software Bill of Materials）対応の実装方法

■本テーマ関連法規・ガイドラインなど
・FDA Premarket Cybersecurity Guidance（2023年改訂版）
・FDA Postmarket Cybersecurity Guidance（2016年・2023年更新）
・MDR（欧州医療機器規則）Annex I サイバーセキュリティ要求事項
・IMDRF Principles and Practices for Medical Device Cybersecurity
・IEC 81001-5-1（医療機器のセキュリティ - パート5-1）
・ISO/IEC 27001（情報セキュリティマネジメントシステム）
・NIST Cybersecurity Framework（CSF）
・QMS省令におけるサイバーセキュリティ対応（2023年改正）
・医療情報システムの安全管理に関するガイドライン（厚生労働省）

■講演中のキーワード
・医療機器サイバーセキュリティ AI
・FDA Premarket Guidance
・脅威モデリング 生成AI
・SBOM 医療機器
・ペネトレーションテスト 自動化

生成AIを駆使した医療機器サイバーセキュリティ対策の最新実務セミナー
はじめに

１．サイバーセキュリティとは
・サイバーセキュリティとは？
・情報セキュリティの3要素とサイバーリスクに対するリスクマネジメント
・本邦におけるこれまでのガイドライン
・医療機器におけるサイバーセキュリティ
・サイバーセキュリティに関する通知
・IMDRFのサイバーセキュリティに関するガイドライン
・医療機器のサイバーセキュリティ導入に関する手引書
・様々なステークホルダー
・製造販売業者のサイバーセキュリティ対応の責務
・Total Product Life Cycle （製品ライフサイクルの全体）
・サイバーセキュリティとリスクマネジメント
・リスク分析と評価のタイミング
・設計段階におけるサイバーセキュリティ対策
・市販後におけるサイバーセキュリティ対策
・レガシー医療機器
・サイバーセキュリティに関する製品ライフサイクルの機能として表現したレガシ一医療機器の概念フレームワーク
・補完的対策としてファイアウォール等を設置する
・医療機関との連携
・ソフトウェア部品表（SBOM）
・サイバーセキュリティに関する顧客向け文書
・医療機器のサイバーセキュリティに関するよくある誤解
・IEC 81001-5-1:2021（JIS T 81001-5-1：2023）とは
・ヘルスソフトウェアと法規制対象

２．サイバーセキュリティに関する通知等
・サイバーセキュリティに関する通知等
・IMDRFガイダンスと医療機器のサイバーセキュリティ導入に関する手引書の関係
・IEC 81001-5-1と医療機器のサイバーセキュリティ導入に関する手引書の関係
・サイバーセキュリティに関する手順書の作成方法

３．医療機器基本要件基準の改定
・基本要件基準とは？
・基本要件基準の構成
・医療機器基本要件基準 第2条 リスクマネジメント
・医療機器の基本要件基準第12条 「プログラムを用いた医療機器に対する配慮」
・医療機器の基本要件基準 第12条第3項の適用について
・医療機器の基本要件基準第12条第3項が追記

４．各国の医療機器サイバーセキュリティ規制
・各国におけるサイバーセキュリティの対応状況について
・各国の医療機器サイバーセキュリティに関する規制
・IMDRFガイダンスと並行して各国規制への対応も
・米国におけるサイバーセキュリティに関するガイダンス
・米国におけるサイバーセキュリティに関するガイダンス　～FD&C法の改正～
・欧州医療機器規制（MDR） MDCGガイダンス

５．IMDRFガイダンス概要
・Principles and Practices for Medical Device Cybersecurity　IMDRFガイダンス
・IMDRFサイバーセキュリティガイダンスの開発経緯
・IMDRFガイダンス文書の全体構成
・目次
・Principles and Practices for Medical Device Cybersecurity　IMDRFガイダンスの構成
・追補ガイダンス
・ソフトウェア部品表（SBOM）
・IMDRFガイダンスの主な項目と補完情報
・IMDRFガイダンス　レガシー医療機器の取り扱いについて

６．IEC 81001-5-1:2021概要
・IEC 81001-5-1:2021（JIS T 81001-5-1：2023）とは
・ヘルスソフトウェアと法規制対象
・IEC 81001-5-1はプロセス規格である
・プロセス、アクティビティ、タスクの関係
・なぜIEC 81001-5-1:2021（JIS T 81001-5-1）が必要か？
・脆弱性、脅威および他のセキュリティ関連の用語のマッピングの例
・脅威モデリングとは
・サイバーセキュリティとリスクマネジメント（ISO 14971）
・サイバーセキュリティとソフトウェア開発プロセス（IEC 62304）
・IEC 62304 ソフトウェア開発プロセスの概観
・4.1 品質マネジメント
・4.2 セキュリティに関連するリスクマネジメント
・4.3 リスク移転に関連するソフトウェアアイテムの分類
・箇条5 ソフトウェア開発プロセス
・5.1 ソフトウェア開発計画
・5.2 ヘルスソフトウェアの要求事項分析
・5.3 ソフトウェアアーキテクチャー設計
・5.4 ソフトウェア設計
・5.5 ソフトウェアユニットの実装および検証
・5.6 ソフトウェア結合試験、5.7 ソフトウェアシステム試験
・セキュリティ試験について
・5.8 ソフトウェアリリース
・箇条6 ソフトウェア保守プロセス
・箇条8 ソフトウェア構成管理プロセス
・箇条9 ソフトウェア問題解決プロセス
・トランジションヘルスソフトウェアについて

７．IEC 81001-5-1:2021逐条解説
・4 一般要求事項　4.1 品質マネジメント
・4 一般要求事項　4.2 セキュリティに関連するリスクマネジメント
・4 一般要求事項　4.3 リスク移転に関連するソフトウェアアイテムの分類
・5 ソフトウェア開発プロセス　5.1 ソフトウェア開発計画
・5 ソフトウェア開発プロセス　5.2 ヘルスソフトウェアの要求事項分析
・5 ソフトウェア開発プロセス　5.3 ソフトウェアアーキテクチャー設計
・5 ソフトウェア開発プロセス　5.4 ソフトウェア設計
・5 ソフトウェア開発プロセス　5.5 ソフトウェアユニットの実装および検証
・5 ソフトウェア開発プロセス　5.6 ソフトウェア結合試験
・5 ソフトウェア開発プロセス　5.7 ソフトウェアシステム試験
・5 ソフトウェア開発プロセス　5.8 ソフトウェアリリース
・6ソフトウェア保守プロセス　6.1 ソフトウェア保守計画の確立
・6ソフトウェア保守プロセス　6.2 問題および修正の分析
・6ソフトウェア保守プロセス　6.3 変更の実装
・7 セキュリティに関連するリスクマネジメントプロセス　7.1 リスクマネジメントのコンテキスト
・7 セキュリティに関連するリスクマネジメントプロセス　7.2 脆弱性、脅威および関連する悪影響の特定
・7 セキュリティに関連するリスクマネジメントプロセス　7.3 セキュリティに関連するリスクの推定および評価
・7 セキュリティに関連するリスクマネジメントプロセス　7.4 セキュリティに関連するリスクのコントロール
・7 セキュリティに関連するリスクマネジメントプロセス　7.5 リスクコントロールの有効性の監視
・8 ソフトウェア構成管理プロセス
・9 ソフトウェア問題解決プロセス　9.1 概要
・9 ソフトウェア問題解決プロセス　9.2 脆弱性についての通知の受領
・9 ソフトウェア問題解決プロセス　9.3 脆弱性のレビュ
・9 ソフトウェア問題解決プロセス　9.4 脆弱性の分析
・9 ソフトウェア問題解決プロセス　9.5 セキュリティ関連の問題への対応

8．医療機器のサイバーセキュリティ導入に関する手引書
・医療機器のサイバーセキュリティ導入に関する手引書（第２版）
・目次
・背景
・1. 目的
・2. 適用範囲
・3. 用語および参考定義
・4. 一般原則
・5. 市販前の考慮事項
・5.1. セキュリティ要求事項およびアーキテクチャ設計
・5.2. TPLCに関するリスクマネジメント原則
・5.3. セキュリティ試験
・5.4. TPLCサイバーセキュリティマネジメント計画
・サイバーセキュリティに関する顧客向け文書
・5.5. 顧客向け文書
・5.5. 顧客向け文書　5.5.1. 注意事項等情報および取扱説明書
・5.5. 顧客向け文書　5.5.2. 顧客向けセキュリティ文書
・5.5. 顧客向け文書　5.5.2. 顧客向けセキュリティ文書
・5.6. 規制当局への申請に関する文書
・6. 市販後の考慮事項
・6.1. 意図する使用環境における機器の運用
・6.2. 情報共有
・6.3. 協調的な脆弱性の開示（CVD）
・6.4. 脆弱性の修正
・6.5. インシデントへの対応
・6.6. レガシー医療機器　6.6.1. TPLCとレガシー状態
・製品ライフサイクルにおけるレガシー医療機器の概念フレームワーク
・6.6.2. TPLCにおける考慮事項　6.6.2.1 設計・開発期間
・6.6.2. TPLCにおける考慮事項　6.6.2.2サポート段階
・6.6.2. TPLCにおける考慮事項　6.6.2.3 限定的サポート段階
・6.6.2. TPLCにおける考慮事項　6.6.2.4 サポート終了（EOS）段階
・6.6.3. 補完的リスクコントロールに関する考慮事項
・7. 業許可に関する考慮事項
・7. 業許可に関する考慮事項　7.1. 業許可を持つステークホルダーの役割
・7. 業許可に関する考慮事項　7.2. リース医療機器の取扱い
・7. 業許可に関する考慮事項　7.3. 中古医療機器の取扱い
・7. 業許可に関する考慮事項
・附属書　A. ソフトウェア部品表（SBOM）の扱い　A.1 SBOM の全体的なフレームワーク
・附属書　A. ソフトウェア部品表（SBOM）の扱い　A.２ SBOM の作成
・附属書　A. ソフトウェア部品表（SBOM）の扱い　A.3 SBOM の要素と推奨フォーマット
・附属書　A. ソフトウェア部品表（SBOM）の扱い　A.４ SBOM の提供
・附属書　A. ソフトウェア部品表（SBOM）の扱い　A.5 SBOM の事例 A.5.1 SBOM の構成（アーキテクチャーの展開）
・文献
・用語および参考定義（五十音順）

Appendix I. IMDRFガイダンス逐条解説
・国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則および実践に関するガイダンスの公表について（周知依頼）
・ガイダンス文書の全体構成
・目次
・序文
・1.0 はじめに
・2.0 適用範囲
・3.0 定義
・4.0 一般原則
・4.1 国際整合
・4.2製品ライフサイクルの全体
・4.2Total Product Life Cycle （製品ライフサイクルの全体）
・4.3 共同責任
・4.4 情報共有
・5.0 医療機器サイバーセキュリティの市販前考慮事項
・5.1 セキュリティ要求事項およびアーキテクチャ設計
・5.2TPLCに関するリスクマネジメント原則
・5.3 セキュリティ試験
・5.4 TPLCサイバーセキュリティマネジメント計画
・5.5 ラベリングおよび顧客向けセキュリティ文書　5.5.1 ラベリング
・5.5 ラベリングおよび顧客向けセキュリティ文書　5.5.2顧客向けセキュリティ文書
・ソフトウェア部品表（SBOM）について補足
・5.6規制当局への申請に関する文書
・5.6規制当局への申請に関する文書　5.6.1 設計文書
・5.6規制当局への申請に関する文書　5.6.2リスクマネジメント文書
・5.6規制当局への申請に関する文書　5.6.3 セキュリティ試験の文書
・5.6規制当局への申請に関する文書　5.6.4 TPLCサイバーセキュリティマネジメント計画に関する文書
・5.6規制当局への申請に関する文書　5.6.5 ラベリングおよび顧客向けセキュリティ文書
・6.0 医療機器サイバーセキュリティの市販後考慮事項
・様々な関係者
・6.1 意図する使用環境における機器の運用　6.1.1 ヘルスケアプロバイダおよび患者
・6.1 意図する使用環境における機器の運用　6.1.2医療機器製造業者
・6.1 Operating Devices in the Intended Use Environment　（意図する使用環境における機器の運用）
・6.2情報共有
・6.2情報共有　6.2.1 重要原則
・6.2情報共有　6.2.2重要な責任関係者
・6.2情報共有　6.2.3 情報の種類
・6.2情報共有　6.2.4 信頼できるコミュニケーション
・6.2Information Sharing （情報共有）
・6.3 協調的な脆弱性の開示 （CVD）
・6.3 協調的な脆弱性の開示 （CVD）　6.3.1 医療機器製造業者
・6.3 協調的な脆弱性の開示 （CVD）　6.3.2規制当局
・6.3 協調的な脆弱性の開示 （CVD）　6.3.3 脆弱性の発見者（セキュリティ研究者およびその他を含む）
・6.3 Coordinated Vulnerability Disclosure（CVD協調的な脆弱性の開示）
・6.4 脆弱性の修正
・6.4 脆弱性の修正　6.4.1 医療機器製造業者
・6.4 脆弱性の修正　6.4.2ヘルスケアプロバイダおよび患者
・6.4 脆弱性の修正　6.4.3 規制当局
・6.4 Vulnerability Remediation（脆弱性の修正）
・6.5 インシデントへの対応　6.5.1 医療機器製造業者
・6.5 インシデントへの対応　6.5.2ヘルスケアプロバイダ
・6.5 インシデントへの対応　6.5.3 規制当局
・6.5 Incident Response（インシデントへの対応）
・6.6レガシー医療機器
・製品ライフサイクルにおけるレガシー医療機器の概念フレームワーク
・サイバーセキュリティに関する製品ライフサイクルの機能として表現したレガシ一医療機器の概念フレームワーク
・6.6レガシー医療機器　6.6.1 医療機器製造業者
・6.6レガシー医療機器　6.6.2ヘルスケアプロバイダ
・7.0 参考文献　7.1 IMDRF 文書
・7.0 参考文献　7.2規格
・7.0 参考文献　7.3 規制当局のガイダンス
・7.0 参考文献　7.4 その他の資料および参考文献
・8.0 附属書　8.1 附属書A: インシデント対応の役割（ISO/IEC 27035 から引用）
・8.0 附属書　8.2附属書B：協調的な脆弱性の開示に関する各地域のリソース

Appendix II. 医療機関におけるサイバーセキュリティ対策
・情報セキュリティインシデントとは
・医療情報システムの安全管理に関するガイドライン 第5.1版 2021年
・医療機関等におけるサイバーセキュリティ対策の強化について

Appendix III. ヘルスソフトウェア開発手順
・IEC 82304-1 ヘルスソフトウェア － 第1部：製品安全に関する一般要求事項
・IEC 82304-1 附属書 A 表 A.1 に示される規格の範囲内および範囲外のソフトウェアの例
・ヘルスソフトウェアと法規制対象
・ヘルスソフトウェア開発手順

生成AIを活用した業務改善セミナー
第1部：AIとはさみは使いよう
・AIのIQは120～136程度で人類平均の100を超えている
・生成AIによる産業革命　～本セミナーのTips～
・生成AIではこんなことも出来ます　～その1～
・生成AIではこんなことも出来ます　～その2～
・生成AIではこんなことも出来ます　～その3～
・生成AIではこんなことも出来ます　～その4～
・生成AIではこんなことも出来ます　～その5～
・「何とかとはさみは使いよう」生成AIも使いよう
・15年に一度の大変革期 - 千載一遇のチャンス
・未来の規制遵守プロフェッショナル像
・専門職の新たなビジネスモデル
・AIへの投資は未来への投資
・生成AIは「魔法の杖」ではなく「優秀なアシスタント」
・AIは副操縦士（Co-Pilot）
・如何に生成AIを使いこなすか
・教育・学習の方法が根本的に変わります！
・生成AI時代における学習の変革
・生成AIではこんなことも出来ます　～その6～

第2部：生成AIの基本知識
・大規模言語モデル（LLM）とは
・GPT（Generative Pre-trained Transformer）とは
・生成AI（ジェネレーティブAI）とは
・生成AI使用上の注意点
・ハルシネーション（hallucination）

第3部：ハルシネーションの低減方法
・ハルシネーションの低減方法
・ハルシネーション（誤情報生成）が起きるメカニズムの解明
・生成AIではこんなことも出来ます　～その7～

第4部：RAGについて
・RAG（Retrieval-Augmented Generation）アプローチによる精度向上
・RAGの基本概念と最新動向
・従来のAIとの違い

第5部：生成AIによる品質管理業務の革新
・現場が直面する課題
・深刻化する課題
・生成AI活用領域マップ
・文書管理での活用
・期待効果
・逸脱管理での活用
・CAPA管理での活用
・年次製品品質照査（APR/PQR）
・生成AIではこんなことも出来ます　～その8～

第6部：導入時の考慮事項
・生成AI時代の課題と問題点①
・生成AI時代の課題と問題点②
・生成AI時代の課題と問題点③
・生成AI時代の課題と問題点④
・人間の監督（Human Oversight）
・HUMAN in the Loopの重要性
・バリデーションの考慮事項
・規制当局の動向
・導入ロードマップ
・生成AIではこんなことも出来ます　～その9～

第7部：なぜ生成AIセキュリティが重要なのか
・なぜ今、生成AIセキュリティが重要なのか
・セキュリティインシデント事例 他社の失敗から学ぶ

【講師】　　株式会社イーコンプライアンス 代表取締役　村山 浩一

【主な略歴】

1999年2月
　日本アイ・ビー・エム株式会社　コンサルティング事業部　入社
　NYのTWG（The Wilkerson Group）で製薬業界に特化したコンサルタントとして研修
　製薬企業におけるプロセス　リエンジニアリング担当
　Computerized System Validation(CSV)、21 CFR Part11 コンサルティング
2001年7月
　IBM認定主幹コンサルタント
　アイビーエム・ビジネスコンサルティングサービス株式会社へ出向
　マネージング・コンサルタント
2004年7月
　日本アイ・ビー・エム株式会社　退社し、現在に至る。

詳しい経歴はこちら

【関連の活動など】

• 日本PDA　第9回年会併催シンポジウム　21 CFR Part 11その現状と展望
• 日本製薬工業協会　医薬品評価委員会　基礎研究部会主催（東京）
• 東京大学大学院医学系研究科　臨床試験データ管理学講座などにて多数講演。など
  

【受講者の声】

• 「事前に頂いた資料では規格関連の話が多く、セミナー前に受講するという判断が失敗だったかもしれないと考えました。しかし、実際に受講すると活用方法などをデモなどを通してわかりやすく説明していただき非常に有効なセミナーでした。」
• 「他社での失敗事例についての部分が自社で導入する場合のリスク検討に役立つと考えております。」
• 「生成AIの実務紹介や、AI生成でのSOP作成、サイバーセキュリティの実際と生成AIにおける情報解析に特に興味を持ちました。」

ダウンロード版をご購入の方は資料およびセミナービデオをダウンロードするためのURLを電子メールにてご案内いたします。
DVDメディアでの納品をご希望の方は別途郵送いたします。

本ご注文に関しては、株式会社イーコンプレスが担当させていただきます。
個人情報等に関しましては、商品発送の目的に限り、当社から株式会社イーコンプレスへ転送させていただきます。

当社が販売するセミナービデオは、ポイントを蓄積していただくことができ、貯まったポイントをセミナーや書籍等のご購入にご使用いただけます。

ポイントの蓄積のためには、会員登録が必要です。会員でない方はこちらから会員登録を行ってください。