2023年4月1日より、プログラムを使用した医療機器を製造販売する企業にはサイバーセキュリティ対策が必須となりました。この対策はIEC 81001-5-1:2021（JIS T 81001-5-1：2023）に準拠することが求められています。

IEC 81001-5-1:2021はプロセス規格であり、ヘルスソフトウェアの開発・保守ライフサイクルの要求事項を規定しています。既存のIEC 62304対応手順書にIEC 81001-5-1の要求事項を追加する形で対応する必要があります。

国内では「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」が発出され、SBOM、レガシー医療機器、脆弱性修正、インシデント対応等について具体的な指針が示されています。

医療機器へのサイバー攻撃リスクとしては、検査・診断装置での誤診断、治療装置での治療中断、放射線治療プログラムでの過量・不足照射などがあります。また、接続されたネットワークを介して他の機器にも被害が広がる可能性があります。

サイバーセキュリティ対応は複雑ですが、適切なリスクマネジメントと手順書・記録の作成によって対応することが、患者安全と医療の質を守るために不可欠です。

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。