株式会社イーコンプライアンス

IoT機器等の基盤となる通信技術の進歩に伴い、今後も医療機器が医療機関のネットワーク、他の医療機器または電子機器と接続される機会がさらに増加することが想定されます。
これにより医aサイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。機器がデータ通信による外部からの不正な侵入のリスクに晒される機会が増加することになります。
ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。

IMDRF（国際医療機器規制当局フォーラム）は、2020年3月18日、「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則および実践）」を発出しました。
日本においても2023年を目途にIMDRFガイダンスの業界への導入の検討が進められています。
これにより、厚労省は2021年12月24日に「医療機器のサイバーセキュリティ導入に関する手引書」を発出しました。
2023年度には、サイバーセキュリティの確保が基本要件基準に明記され、医療機器の品目申請において審査対象となる模様です。

「一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。」

本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例を配布し、要点を分かりやすく解説します。

医療機器における滅菌に関する詳しいセミナーや書籍は多くありません。
特に包装における滅菌バリデーションに関する詳細はほとんど皆無です。
滅菌医療機器においては、医療機器の管理、包装の無菌保証についても重要となります。
滅菌プロセスのバリデーションにおいては、各滅菌方法別に整備されている規格に則って実施する必要がありますが、滅菌医療機器の包装に関しても留意しなければなりません。
本セミナーでは、2019年に改定されたISO 11607-1:2019「最終段階で滅菌される医療機器の包装 ー第1部：材料、無菌バリアシステムおよび包装システムに関する要求事項」およびISO 11607-2:2019「最終段階で滅菌される医療機器の包装 ー第2部：成形、シールおよび組立プロセスのバリデーション要求事項」のポイントを分かりやすく解説します。またEN 868シリーズにも言及します。
特にリスクマネジメント、ユーザビリティの基本的な考え方、要求事項、具体的な進め方、そのポイントについても分かり易く解説します。

医療機器企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器には何がしかのリスクが潜んでいます。リスク分析の結果は、設計管理のインプットとなります。
医療機器事故は、ユーザの意図した利用と設計者の思想のギャップによって起こるとされています。

昨今では、ユーザビリティを含め、合理的な誤使用を予測したリスク分析が求められています。
演者は多くの医療機器企業においてリスクマネジメントの指導を行ってきましたが、各社ともに我流で実施していることが多いようです。
それでは、医療機器の安全が確保できず、また回収（改修）も減少しません。
そのためには、リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本Webinarでは、難解なリスクマネジメント ISO-14971:2019を初心者にもわかりやすく解説いたします。
またユーザビリティエンジニアリングも解説します。

製薬企業にとって、リスクを管理することは非常に重要です。しかしながら、リスクマネジメントは難解です。
医療機器業界では、欧州が先行し、90年代からIOS-14971が制定されました。
しかしながら、医薬品業界は、2005年にICH-Q9「品質リスクマネジメントに関するガイドライン」が合意され、翌年から本邦においても施行されています。
つまり20世紀は製薬業界において品質リスクマネジメントの概念がないまま、要員の経験と勘でリスクが管理されてきました。

品質リスクマネジメントは、特定の部署だけが対応したり、手順書を作成するだけではありません。
研究開発、臨床開発、製造販売後、流通、申請、査察にいたる製品のすべてのライフサイクル全般について、すべての部署がそれぞれの手順にリスクマネジメントの概念を取り込まなければなりません。
そのためには、品質リスクマネジメントの基本的な考え方と規制当局の期待を十分に理解しなければなりません。

本Webinarでは、難解なICH Q9 品質リスクマネジメントを初心者にもわかりやすく解説いたします。

滅菌において滅菌バリデーションの適用規格・薬機法を理解することは極めて重要です。
またPIC/S GMPでは無菌性の保証について厳格に要求しています。無菌原薬の管理、包装容器の無菌保証についても重要となります。

本セミナーでは、各滅菌、無菌性規格基準の動向とその背景、無菌性保証、パラメトリックリリース等の基本的考え方、各種滅菌法の基礎、特徴、滅菌バリデーションでの留意点、バイオバーデン管理等について要点を分かりやすく解説いたします。
また医薬品包装の最上位の滅菌を行う場合の滅菌条件の設定、管理のための科学的妥当性の検証である滅菌バリデーションの基礎についても解説します。さらに医薬品等における無菌性保証の動向について解説いたします。

2022年9月13日付で、FDAがドラフトガイダンス「Computer Software Assurance for Production and Quality System Software」（以下、CSAガイダンス）を公開しました。
現状では、企業における最終製品の品質保証においてCSV要求が最も高い障壁となっています。
CSAガイダンスは、これまでのCSVにおける“煩雑さ”を取り除くものとなりました。

現在、規制要件で要求されているCSV（Computerized System Validation）は、文書化要求が多く、実施のためには時間、労力、コストがかかるという問題点がありました。しかも、CSVで作成される文書は、製品の品質保証や患者の安全性の担保のために使用されるものではなく、監査や当局査察に提示する目的で作成されてきました。
つまり、無駄にコンプライアンスコストを消費してしまっているという問題がありました。

CSAガイダンスの策定には、ISPEのGAMPワーキングチームも加わっています。
また、CSAガイダンスは、1997年に施行された21 CFR Part 11 “Electronic Records; Electronic Signature”に代わる、新しいコンピュータシステムにおけるFDA共通のガイダンスともなります。

CSVとCSAはいったい何が違うのでしょうか。
本セミナーでは、CSVとCSAの相違点を分かりやすく解説いたします。

コンピュータバリデーション（CSV）に関する超入門編です。
はじめてバリデーションを学ぶ方に最適なWebinarです。
コンピュータ化システムとは何でしょうか。
Vモデルとはどういうものでしょうか。
またカテゴリ分類は必要なのでしょうか。
製薬業界のCSVスタンダードであるGAMP 5はどのようなものなのでしょうか。

本セミナーでは、初心者の方に向けて、CSVを超わかりやすく解説いたします。

データインテグリティに関する関心が高まっています。
しかしながら、多くの企業ではデータインテグリティ対応が不十分であったり、間違っているケースが見受けられます。
例えば、データインテグリティ対応は電子記録に対して実施するものと考えている企業が大半です。
また、セキュリティや監査証跡機能を追加すればデータインテグリティ対応が出来ていると思い込んでいる企業も少なくありません。
本セミナーでは、データインテグリティの誤解と要点について、実例をもとに分かりやすく解説します。

CAPAは、重要な当局査察対応項目の1つとして上げられています。
CAPAを見ることで、企業の製品に対する品質改善や 法遵守の姿勢が見えてくることになります。
是正処置においては問題の再発防止を図ることが重要です。そのためには根本的原因の究明（RCA：Root Cause Analysis）を徹底しなければなりません。
しかしながら、多くの企業においては根本的原因の究明が十分ではなく、是正処置が不完全なケースが多く見つけられます。
本セミナーでは、CAPAを実施する際のポイントやコツについて、実例をもとに分かりやすく解説します。

【こんな方におすすめ】
★Part11対応について悩んでいる
★Part11の基本について知りたい
★Part11に対応したシステムとは