株式会社イーコンプライアンス

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。

【IEC 62304】医療機器ソフトウェア対応】　
医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。


【サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー】
サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

医療機器製造販売業者は、QMS省令に基づき、品質管理システム（QMS）の構築が求められています。
しかしながら、医療機器に関する規制要件は難解です。
いったいどのように理解し、どのようなQMSを構築すれば良いのでしょうか。

本セミナーではQMS省令が要求する品質管理システムの内容について分かりやすく解説します。
（注：GVP省令に関する内容は含んでおりません。）

【超入門】　
コンピュータバリデーションに関する超入門編です。
はじめてバリデーションを学ぶ方に最適なセミナーです。
CSV規制の歴史をご紹介した上で、製薬業界のスタンダードであるGAMP 5をわかりやすく解説します。
CSVを実施する上で知っておかなければならないことは、構造設備とITアプリケーションでは、バリデーションの方法が全く違うということです。
しかしながら、これまで構造設備とITアプリケーションの違いについて解説を行うセミナーはありませんでした。
システムを4つに分類し、それぞれのCSV実施方法を解説いたします。
本セミナーでは、初心者の方に向けて、CSVを超わかりやすく解説いたします。

【中級編】　
CSVに関するセミナーや書籍は沢山ありますが、実際のCSVの成果物の作成方法を解説したものはほとんどありません。
百聞は一見にしかずです。 ぜひ具体的な文書の例を見て、CSV実施方法を体感してみてください。
本セミナーでは、実際のCSV成果物を開示しながら、成果物の作成方法とノウハウを徹底的に伝授いたします。
長年に渡ってCSVを実践してきた経験から、難解なGAMP 5をわかりやすく、適切かつ高効率な対応方法を解説いたします。

これまで入門コースを受講された方にとって、次のステップアップとなるCSV担当者必見のセミナーです。

コンピュータバリデーションに関する超入門編です。
はじめてバリデーションを学ぶ方に最適なセミナーです。
CSV規制の歴史をご紹介した上で、製薬業界のスタンダードであるGAMP 5をわかりやすく解説します。
CSVを実施する上で知っておかなければならないことは、構造設備とITアプリケーションでは、バリデーションの方法が全く違うということです。
しかしながら、これまで構造設備とITアプリケーションの違いについて解説を行うセミナーはありませんでした。
システムを4つに分類し、それぞれのCSV実施方法を解説いたします。

本セミナーでは、初心者の方に向けて、CSVを超わかりやすく解説いたします。

CSVに関するセミナーや書籍は沢山ありますが、実際のCSVの成果物の作成方法を解説したものはほとんどありません。
百聞は一見にしかずです。 ぜひ具体的な文書の例を見て、CSV実施方法を体感してみてください。
本セミナーでは、実際のCSV成果物を開示しながら、成果物の作成方法とノウハウを徹底的に伝授いたします。
長年に渡ってCSVを実践してきた経験から、難解なGAMP 5をわかりやすく、適切かつ高効率な対応方法を解説いたします。

これまで入門コースを受講された方にとって、次のステップアップとなるCSV担当者必見のセミナーです。

2022年9月13日付で、FDAがドラフトガイダンス「Computer Software Assurance for Production and Quality System Software」（以下、CSAガイダンス）を公開しました。
CSAガイダンスは医療機器の製造または品質システムの一部として使用される、コンピュータシステムおよび自動データ処理システムのためのコンピュータソフトウェア保証に係る推奨事項を提供するものです。

現状では、医療機器企業における最終製品の品質保証においてCSV要求が最も高い障壁となっています。
現在、規制要件で要求されているCSV（Computerized System Validation）は、文書化要求が多く、実施のためには時間、労力、コストがかかるという問題点がありました。しかも、CSVで作成される文書は、製品の品質保証や患者の安全性の担保のために使用されるものではなく、監査や当局査察に提示する目的で作成されてきました。
つまり、無駄にコンプライアンスコストを消費してしまっているという問題がありました。
企業が費やしたコンプライアンスコストは、治療費や薬価等に転嫁され、結果的には患者負担になっていました。
こういった問題点を解決すべく、FDAの医療機器センターであるCDRHは、2011年からCase for Quality Programを推進し、業界やGAMPを巻き込んで、CSAガイダンスの作成を実施してきました。
CSAガイダンスは、これまでのCSVにおける“煩雑さ”を取り除くものとなりました。

CSAガイダンスは、医療機器の製造または品質システムに使用されるソフトウェアの信頼を確立し、追加的に厳密な保証を行うことが適切である場合を特定するためのリスクベースのアプローチによってコンピュータソフトウェアを評価するためのものです。
さらに、CSAガイダンスは21 CFR Part 820 (QSR)で求められるコンピュータソフトウェアの検証に係る要求を満たすための、客観的な証拠を提供するために適用できるさまざまな方法とテスト活動についても説明しています。

CSAガイダンスはCDRHが主管していますが、ヒト用医薬品のセンターであるCDER（Center for Drug Evaluation and Research）およびバイオ医薬品のセンターであるCBER（Center for Biologics Evaluation and Research）も協力して活動しています。
さらにCSAガイダンスの策定には、ISPEのGAMPワーキングチームも加わっています。
つまり医療機器のみならず、医薬品にも対応できるものです。
また、CSAガイダンスは、1997年に施行された21 CFR Part 11 “Electronic Records; Electronic Signature”に代わる新しいコンピュータシステムにおけるFDA共通のガイダンスともなります。

CSAガイダンスの適用範囲は、医薬品や医療機器の製造、測定・分析、品質システムの履行に使用するソフトウェアが対象となります。
品質システムの履行に使用するソフトウェアとは、具体的にはERP、LIMS（ラボデータベース）、LMS（教育管理システム）、EDMS（ドキュメント管理システム）、イベント管理システム（苦情・CAPA管理システム）などが相当します。

コンピュータシステムで大事なことは、患者の安全性、データインテグリティ、製品の品質などを担保することです。
そのため、直接的ではなく、間接的にそれらに影響するシステム（例：教育管理システム）などはいたずらに文書数や文書量を増やす必要はありません。
例えば、必ずしもテストスクリプトを作成する必要はありません。大事なことはテスト結果を注視することです。
ただし、文書や記録がないということは、実施していないとみなされることになるという原則は変わりません。
また文書間におけるトレーサビリティマトリックスも依然として重要です。

本セミナーでは、CSVとCSAの相違点を分かりやすく解説いたします。

　CAPA（是正処置・予防処置）の考え方は、医薬品・医療機器業界の査察のために米国FDAが開発し、その手順は品質に関する査察規制が適用となる品質システムの中で、最も重要なものとなりました。これに伴い、CAPAに関する査察が強化されました。すなわちCAPAは、FDA査察準備の最大のポイントと言えます。

　CAPAは、重要な査察項目の1つとして上げられています。CAPAを見ることで、企業の製品に対する品質改善や法遵守の姿勢が見えてくることになります。

　是正処置の目的は再発防止です。修正処置と是正処置は異なります。
是正処置で最も大切なことは、根本的原因の発見です。根本的原因が特定できなければ、問題が再発します。
また、根本的原因を個人の問題（認識不足、勘違い等）にしたり、製品固有の問題としてはなりません。
なぜならば、担当者はいずれ変更されるからです。担当者が変われば、同様な問題が再発します。
是正処置では、必ず 仕組み（SOP）を改善しなければなりません。

　CAPAを導入することにより、設計・製造における不適合の発生率を確実に減少させることが出来ます。
CAPAは苦情管理、設計管理、逸脱管理、不適合品管理、内部監査、変更管理、自己点検、国内外行政当局査察などで発見されたり、指摘された問題点、課題について対応していくためのシステムです。
当局査察では、必ずCAPA SOPの提示を求められます。また、その記録も厳重に調査されます。
CAPAは、導入すれば終わりではなく、継続的に運用することが重要です。
欧米の医薬品・医療機器業界では、CAPAの概念の導入、検討が盛んに行われています。しかしながら、本邦においては、CAPAの情報管理が、手作業ベース（Excel、Word）で行われ、関連する資料と共に、紙ファイルで保存されているため、蓄積したデータの利用効率が悪く、CAPAの品質向上への効果が十分に得られないといった状況が見受けられます。

　FDAの要求事項であるCAPAでは、顧客苦情のみならず、生産工程等での不適合にも適切な対応が求められていますが、既存システムでは、顧客苦情のみを対象にしているケースが多く見られます。
さらに、自社開発を行うなどにより、21 CFR Part 11に適合していないシステムも多く存在しています。

　本セミナーでは、初心者にもわかりやすいようにCAPAの基本から解説を行います。
また、CAPAシステムを導入するにあたっての留意点について解説いたします。

医療機器が高度化、複雑化するにつれて、ヒューマンエラーの発生が多発しています。
ユーザビリティエンジニアリングは医療機器設計において欠かすことができない要素の一つであり、 かつ当局の関心が非常に高い分野でもあります。

2016年2月にFDAは「Applying Human Factors and Usability Engineering to Medical Devices」と呼ばれるガイダンスを発行しました。
さらに欧州では、MDD から MDRへの改正において、ユーザビリティに関する要求事項が強化されています。

本邦において、医療機器企業は2024年3月31日までに、JIS T 62366-1：2022 「医療機器－第１部：ユーザビリティエンジニアリングの医療機器への適用」（IEC 62366-1：2015＋AMD1：2020）への適合をもって、医療機器基本要件基準の第９条および第16条等で規定するユーザビリティへの適合をしなければなりません。
ユーザビリティエンジニアリングを実施して、使用エラーのない医療機器を設計開発することが目的です。
そのためには、
１．ユーザビリティに係る事項への適合の確認を行う体制を整備すること
２．IEC 62366-1に適合するよう手順書改訂など、必要な措置を講ずること
３．医療機器の承認申請等の添付資料においてIEC 62366-1への適合性を説明すること
４．査察時において、医療機器の設計管理がIEC 62366-1に適合して実施されたことを資料を提示し適切な説明を行うこと
などが求められています。

IEC 62366-1は、ME機器のみではなく、あらゆる医療機器に適用されることに注意が必要です。
また、ユーザビリティエンジニアリングは、ソフトウェアインターフェース以外のインターフェースにも適用されます。
附属資料もインターフェースの一部とみなされます。
インターフェースは、人間の視覚、聴覚、触覚などによって認識されるすべてのものが含まれます。
一般にユーザビリティエンジニアリングが適用されるインターフェースには、下記があげられます。
１．ソフトウェアインターフェース
２．取扱説明書
３．教育用資料
４．ラベル
５．ボタン
６．形状
７．色
８．アラーム音

IEC 62366-1は、難解です。
医療機器設計開発においてはFDAガイダンスやIEC62366-1:2015に従い、人間工学的な要素を取り入れ、適切にユーザーインターフェースに注目したリスクマネジメントを実施する必要があります。
これまではリスクマネジメントに包含されてきましたが、今後はユーザビリティエンジニアリング（ヒューマンファクターエンジニアリング）は、独立して実施しなければなりません。
では、いったいリスクマネジメントとユーザビリティエンジニアリングでは何が異なるのでしょうか。
IEC62366-1:2015が要求するユーザビリティエンジニアリングファイルとはどういうものなのでしょうか。
またユーザビリティエンジニアリング実施のためのSOPや様式はどういうものを揃えれば良いのでしょうか。

いったいどのような手順書を作成し、どのような設計開発を実施すれば良いのでしょうか。
本セミナーでは、ユーザビリティエンジニアリングの基礎を分かりやすく解説します。
またユーザビリティエンジニアリング実施のためのSOPの作成方法についても解説いたします。