2日間コース【IEC 62304】医療機器ソフトウェア対応／サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー

１日目：【IEC 62304】医療機器ソフトウェア対応2024年8月5日（月）13:30～16:30

医療機器業界のみならず、医薬品業界や数多くのスタートアップ企業において、医療機器ソフトウェアの開発がしのぎを削っています。
特にスマホ上のアプリなどソフトウェアを活用して治療する「デジタルセラピューティクス」（Digital Therapeutics：DTx、デジタル治療）が注目されています。
いわゆるSaMD（Software as a Medical Device）です。規制要件においては単体プログラムとも呼ばれます。
SaMDによって患者や医師にとっての治療の選択肢が増えることになります。
SaMDを開発する新興ベンチャーが増加しており、製薬企業にとっては医薬品以外の収益源になる可能性があります。

本邦において、医療機器プログラム（SaMDを含む）の開発において、2017年11月より、IEC 62304（医療機器ソフトウェア ‐ ソフトウェアライフサイクルプロセス）が実質的な規制要件となりました。
IEC 62304は、2006年5月に発行され、日本では2012年にJIS化（JIS T 2304）されました。2014年11月に施行された医薬品医療機器法第12条第2項において参照される「最新のライフサイクルモデル」です。
米国FDAにおいても2008年7月にRecognized Consensus Standardと認定されています。

IEC 62304は「医療機器ソフトウェア」の開発と保守に関するプロセスを規定しています。
日本以外でも欧州・北米・中国などにおいて医療機器申請時にIEC 62304に基づくソフトウェア開発の証拠が必要です。
つまりIEC 62304に従って「医療機器ソフトウェア」を開発しなければ、国内外においてソフトウェアを搭載した医療機器（単体プログラムを含む）を販売することができません。

しかしながら、IEC 62304は非常に難解です。具体的にどのような対応をとればよいのでしょうか。一般にプロセス規格は各社によってまちまちの解釈が行われ、手順書の内容が大きく異なってしまいます。
・IEC 62304を読んでも対応すべき内容や方法が分からない。
・IEC 62304を読んでもどこまでやるべきなのかの範囲が分からない。
・IEC 62304の詳細の内容が不明なまま文書構築を行っている。
・ISO 13485の設計開発プロセスとの関わりが分からない。
などといった疑問点が多く寄せられます。

本セミナーでは、難解なIEC 62304を分かりやすく解説します。
またIEC 62304に準拠したSOPを配布し、皆様の企業内における手順書作成をご支援いたします。

１. はじめに
・医療にかかわるソフトウェアの分類
・ヘルスソフトウェアと法規制対象
・医療にかかわるソフトウェアの分類
・医用電気機器（ME機器）とは
・ME機器設計機器要求事項とリスク分析の関係
・ソフトウェア（プログラム）について
・単体プログラムとは
・デジタルセラピューティクス（DTx）とは
・DTｘの先駆け：「処方されるアプリ」　Bluestar (WellDoc社)
・「治療のために処方される世界初のDTｘ」 reSET（Pear Therapeutics社）
・日本におけるデジタルセラピューティクス
・米国におけるDigital Health、Digital Medicine、Digital Therapeutics、SaMDの概念

２. 用語の定義
・用語の定義

３. 医療機器ソフトウェア規制の要点
・医療機器ソフトウェアの要点

４. JIS T 2304の適用について
・基本要件基準とは？
・基本要件基準の構成
・基本要件適合性チェックリスト
・基本要件適合性チェックリスト（申請時の記載例）
・JIS T 2304の適用について
・“JIS T 2304 ”への対応が必要となった法改正の経緯
・医療機器の基本要件基準
・医療機器の基本要件基準第12条
・医療機器の基本要件基準第12条第２項の適用について
・JIS T 2304への適合の根拠となる文書の記載例（記載事例１）
・JIS T 2304への適合の根拠となる文書の記載例（記載事例２）
・JIS T 2304への適合の根拠となる文書の記載例（記載事例３）
・医療機器の基本要件基準第12条第２項の適用について
・医療機器の基本要件基準第１２条第２項の適用に関するＱ＆Ａ
・医療機器の基本要件基準第12条 「プログラムを用いた医療機器に対する配慮」
・医療機器の基本要件基準第12条第3項が追記（2023年3月31日）

５. IEC 62304概要
・IEC 62304とは
・IEC62304とキーとなる医療機器関連標準との関係
・機器要求事項とソフトウェア要求事項の関係
・IEC62304　目次
・ソフトウェア開発プロセスの概観
・ソフトウェア保守プロセスの概観

６. IEC 62304逐条解説
・IEC62304規格適合とは？
・４．一般要求事項
・4.2 リスク管理 解説
・安全性分類（Software Safety Classification）
・ソフトウェアアイテムへの分解の例
・安全性分類（Software Safety Classification）
・レガシーソフトウェア
・５．開発プロセス
・５．ソフトウェア開発プロセス
・５．開発プロセス
・６．ソフトウェアメンテナンスプロセス
・７．ソフトウェアリスク管理プロセス
・８．ソフトウェア 構成管理プロセス
・９．ソフトウェアの問題解決プロセス

７. リスクマネジメントについて
・医療機器リスクマネジメントとは？
・リスクの定義（ISO/IEC Guide 51）
・リスクとは？
・許容可能なリスク （「安全」の定義）
・リスク評価の実際（R-Map法）
・重大性と発生確率の低減
・どうやって安全にするのか？
・航空機はなぜ飛ばせることができるのか？
・一般的なリスクマネジメントプロセス
・【例】PCプロジェクターにおけるリスク
・ISO 14971：2019　表C.1－ハザードの例
・ハザード、危害、リスク
・機器設計リスクマネジメントワークシート
・なぜアクセルとブレーキを踏み間違うか？
・医療機器のユーザビリティエンジニアリングにとって大切なこと
・どのような環境でどのような人が操作するかも重要
・医療機器におけるリスクマネジメント
・医療機器におけるユーザビリティエンジニアリング
・機器設計機器要求事項とリスク分析の関係
・ISO 14971（リスクマネジメント）とIEC 62366（ユーザビリティエンジニアリング）
・なぜユーザビリティエンジニアリングが必要か？
・製品の使用条件とリスクアセスメントの範囲
・誤使用・不注意事故とヒューマンエラー

８. レビュの重要性
・ピープル・パワーとプロセス・パワー
・ソフトウェアの特徴と品質管理
・CR手法（Clean Room 手法）
・医療機器向けのFDAガイドライン
FDA Guidance for industry and FDA staff / General Principles of Software Validation
・レビュとは
・承認とは
・要求仕様書の重要性
・3つのレビュ形態
・インスペクションの実施要領
・ソフトウェアインスペクションの目的

９. ソフトウェアのテスト
・医療機器向けのFDAガイドライン
FDA Guidance for industry and FDA staff / General Principles of Software Validation
・テストスクリプトとテストデータ
・テストログ（サンプル）
・テストスクリプトとログ
・テストスクリプトとテストデータ
・テストの実施とテストログ
・試験進捗および不良成長曲線
・バグ成長曲線と残存欠陥数の推定
・自動静的解析ツールの使用
・プロセス・ピープル・テクノロジーのバランス

１０. 510(k)申請について
・FDA510(k)申請のタイムフレーム (Timeframe for FDA 510(k) application)
・FDAの510(k)審査のフローチャート （FDA 510(k)review flowchart）
・FDAの厳格なレビュについて
・他社事例

□質疑応答□

※内容は予告なく変更になる可能性があります。

２日目：サイバーセキュリティ（IEC 81001-5-1:2021）対応セミナー2024年8月6日（火）13:30～16:30

サイバーテロは国境を越えて実行されます。
医療機器企業は、サイバーセキュリティを確保した設計開発を確実に実施し、医療現場に提供することが求められます。
一体どのようなリスクマネジメントを実施し、どのような手順書や記録を作成する必要があるのでしょうか。

2023年4月1日から、サイバーセキュリティ対策が基本要件基準の第12条 「プログラムを用いた医療機器に対する配慮」に追記されました。
これにより、プログラムを使用した医療機器を製造販売する企業はサイバーセキュリティ対策が必須となりました。
またサイバーセキュリティ対策は、IEC 81001-5-1:2021（JIS T 81001-5-1：2023）「ヘルスソフトウェアおよびヘルスITシステムの安全、有効性およびセキュリティ」－第5-1部：セキュリティ－製品ライフサイクルにおけるアクティビティに準拠することとされました。

IEC 81001-5-1:2021はどのような規格でしょうか。
IEC 81001-5-1は、IEC 62304やISO 14971などと同様、プロセス規格です。
対象となる医療機器企業は、本規格に従った手順書の作成が求められます。
IEC 81001-5-1は、IEC 62443-4-1「産業用自動制御システムの製品ライフサイクルのセキュリティ要求事項」への適合をサポートするために必要な、ヘルスソフトウェアの開発および保守のライフサイクルの要求事項を規定しています。
また、ヘルスソフトウェアのサイバーセキュリティを強化するために、ライフサイクルにおいて実行するアクティビティをIEC 62304の順序で記載しています。
つまり、IEC 62304対応手順書に、IEC 81001-5-1が要求するアクティビティを追加しなければなりません。

一方で、IMDRFが発行した「Principles and Practices for Medical Device Cybersecurity」（医療機器サイバーセキュリティの原則及び実践。以下「IMDRFガイダンス」という。）は追補が出されました。本邦において、その内容に基づき「医療機器のサイバーセキュリティ導入に関する手引書（第２版）」が発出されました。
これにより、Software Bill of Materials（SBOM）の取扱い、レガシー医療機器の取扱い、脆弱性の修正、インシデントの対応等が具体的に示されました。

ネットワークを介して医療機器がサイバー攻撃を受けるリスクや、当該医療機器が接続された医療機関等のネットワークを介して他の医療機器やコンピュータ等もサイバー攻撃を受け、障害が引き起こされる可能性もあり得るでしょう。
医療機器がサイバー攻撃を受けた場合のリスクには下記のものが考えられます。

１． 検査装置・診断装置：検査の中断や誤った診断に至る可能性
２． 治療に用いられる装置：治療の中断等の事象の発生の可能性
３． 放射線治療の線量等の計算プログラム：過量照射や不十分な量の照射が発生する可能性

サイバーセキュリティ対応は複雑で難解です。
本セミナーでは、医療機器におけるサイバーセキュリティ確保のための手順書例（サイバーセキュリティ手引書（第２版）対応版）を配布し、要点を分かりやすく解説します。

１．サイバーセキュリティとは
・サイバーセキュリティとは？
・情報セキュリティの3要素とサイバーリスクに対するリスクマネジメント
・本邦におけるこれまでのガイドライン
・医療機器におけるサイバーセキュリティ
・サイバーセキュリティに関する通知
・IMDRFのサイバーセキュリティに関するガイドライン
・医療機器のサイバーセキュリティ導入に関する手引書
・様々なステークホルダー
・製造販売業者のサイバーセキュリティ対応の責務
・Total Product Life Cycle （製品ライフサイクルの全体）
・サイバーセキュリティとリスクマネジメント
・リスク分析と評価のタイミング
・設計段階におけるサイバーセキュリティ対策
・市販後におけるサイバーセキュリティ対策
・レガシー医療機器
・サイバーセキュリティに関する製品ライフサイクルの機能として表現したレガシ一医療機器の概念フレームワーク
・補完的対策としてファイアウォール等を設置する
・医療機関との連携
・ソフトウェア部品表（SBOM）
・サイバーセキュリティに関する顧客向け文書
・医療機器のサイバーセキュリティに関するよくある誤解
・IEC 81001-5-1:2021（JIS T 81001-5-1：2023）とは
・ヘルスソフトウェアと法規制対象

２．サイバーセキュリティに関する通知等
・サイバーセキュリティに関する通知等
・IMDRFガイダンスと医療機器のサイバーセキュリティ導入に関する手引書の関係
・IEC 81001-5-1と医療機器のサイバーセキュリティ導入に関する手引書の関係
・サイバーセキュリティに関する手順書の作成方法

３．医療機器基本要件基準の改定
・基本要件基準とは？
・基本要件基準の構成
・医療機器の基本要件基準 第12条 「プログラムを用いた医療機器に対する配慮」
・医療機器の基本要件基準 第12条第3項の適用について
・医療機器基本要件基準 第2条 リスクマネジメント
・医療機器の基本要件基準第12条第3項が追記

４．各国の医療機器サイバーセキュリティ規制
・各国におけるサイバーセキュリティの対応状況について
・各国の医療機器サイバーセキュリティに関する規制
・IMDRFガイダンスと並行して各国規制への対応も
・米国におけるサイバーセキュリティに関するガイダンス
・米国におけるサイバーセキュリティに関するガイダンス　～FD&C法の改正～
・欧州医療機器規制（MDR） MDCGガイダンス

５．IMDRFガイダンス概要
・Principles and Practices for Medical Device Cybersecurity
　IMDRFガイダンス
・IMDRFサイバーセキュリティガイダンスの開発経緯
・IMDRFガイダンス文書の全体構成
　目次
・Principles and Practices for Medical Device Cybersecurity
　IMDRFガイダンスの構成
・追補ガイダンス
・ソフトウェア部品表（SBOM）
・IMDRFガイダンスの主な項目と補完情報
・IMDRFガイダンス
　レガシー医療機器の取り扱いについて

６． IEC 81001-5-1:2021概要
・IEC 81001-5-1:2021（JIS T 81001-5-1：2023）とは
・ヘルスソフトウェアと法規制対象
・IEC 81001-5-1はプロセス規格である
・プロセス、アクティビティ、タスクの関係
・なぜIEC 81001-5-1:2021（JIS T 81001-5-1）が必要か？
・脆弱性、脅威および他のセキュリティ関連の用語のマッピングの例
・脅威モデリングとは
・サイバーセキュリティとリスクマネジメント（ISO 14971）
・サイバーセキュリティとソフトウェア開発プロセス（IEC 62304）
・IEC 62304 ソフトウェア開発プロセスの概観
・4.1 品質マネジメント
・4.2 セキュリティに関連するリスクマネジメント
・4.3 リスク移転に関連するソフトウェアアイテムの分類
・箇条5 ソフトウェア開発プロセス
・5.1 ソフトウェア開発計画
・5.2 ヘルスソフトウェアの要求事項分析
・5.3 ソフトウェアアーキテクチャー設計
・5.4 ソフトウェア設計
・5.5 ソフトウェアユニットの実装および検証
・5.6 ソフトウェア結合試験、5.7 ソフトウェアシステム試験
・セキュリティ試験について
・5.8 ソフトウェアリリース
・箇条6 ソフトウェア保守プロセス
・箇条8 ソフトウェア構成管理プロセス
・箇条9 ソフトウェア問題解決プロセス
・トランジションヘルスソフトウェアについて

７．IEC 81001-5-1:2021逐条解説
・4 一般要求事項
　4.1 品質マネジメント
　4.2 セキュリティに関連するリスクマネジメント
　4.3 リスク移転に関連するソフトウェアアイテムの分類
・5 ソフトウェア開発プロセス
　5.1 ソフトウェア開発計画
　5.2 ヘルスソフトウェアの要求事項分析
　5.3 ソフトウェアアーキテクチャー設計
　5.4 ソフトウェア設計
　5.5 ソフトウェアユニットの実装および検証
　5.6 ソフトウェア結合試験
　5.7 ソフトウェアシステム試験
　5.8 ソフトウェアリリース
・6 ソフトウェア保守プロセス
　6.1 ソフトウェア保守計画の確立
　6.2 問題および修正の分析
　6.3 変更の実装
・7 セキュリティに関連するリスクマネジメントプロセス
　7.1 リスクマネジメントのコンテキスト
　7.2 脆弱性、脅威および関連する悪影響の特定
　7.3 セキュリティに関連するリスクの推定および評価
　7.4 セキュリティに関連するリスクのコントロール
　7.5 リスクコントロールの有効性の監視
・8 ソフトウェア構成管理プロセス
・9 ソフトウェア問題解決プロセス
　9.1 概要
　9.2 脆弱性についての通知の受領
　9.3 脆弱性のレビュ
　9.4 脆弱性の分析
　9.5 セキュリティ関連の問題への対応

８．医療機器のサイバーセキュリティ導入に関する手引書
・医療機器のサイバーセキュリティ導入に関する手引書（第２版）
　目次
　背景
・1. 目的
・2. 適用範囲
・3. 用語および参考定義
・4. 一般原則
・5. 市販前の考慮事項
　5.1. セキュリティ要求事項およびアーキテクチャ設計
　5.2. TPLCに関するリスクマネジメント原則
　5.3. セキュリティ試験
　5.4. TPLCサイバーセキュリティマネジメント計画
・サイバーセキュリティに関する顧客向け文書
　5.5. 顧客向け文書
　　5.5.1. 注意事項等情報および取扱説明書
　　5.5.2. 顧客向けセキュリティ文書
　5.6. 規制当局への申請に関する文書
・6. 市販後の考慮事項
　6.1. 意図する使用環境における機器の運用
　6.2. 情報共有
　6.3. 協調的な脆弱性の開示（CVD）
　6.4. 脆弱性の修正
　6.5. インシデントへの対応
　6.6. レガシー医療機器
　　6.6.1. TPLCとレガシー状態
　　6.6.2. TPLCにおける考慮事項
　　　6.6.2.1 設計・開発期間
　　　6.6.2.2 サポート段階
　　　6.6.2.3 限定的サポート段階
　　　6.6.2.4 サポート終了（EOS）段階
　　6.6.3. 補完的リスクコントロールに関する考慮事項
・7. 業許可に関する考慮事項
　7.1. 業許可を持つステークホルダーの役割
　7.2. リース医療機器の取扱い
　7.3. 中古医療機器の取扱い
・附属書
　・A. ソフトウェア部品表（SBOM）の扱い
　　A.1 SBOM の全体的なフレーム

セミナー講師

(株)イーコンプライアンス 代表取締役　村山 浩一　氏
略歴
1986年4月 日本ディジタルイクイップメント株式会社（日本DEC）　ソフトウェアサービス部　入社
   ・GCP管理システム、症例データ管理システム企画・開発担当
     （現ClinicalWorks/GCP/CDM）
   ・改正GCP（J-GCP）に対応した標準業務手順書作成コンサルティング
   ・製薬業界におけるドキュメント管理システム導入コンサルティング
1999年1月 日本ディジタルイクイップメント株式会社　退社
1999年2月 日本アイ･ビー･エム株式会社　コンサルティング事業部　入社
   ・NYのTWG（The Wilkerson Group）で製薬業界に特化したコンサルタントとして研修
   ・製薬企業におけるプロセス　リエンジニアリング担当
   ・Computerized System Validation(CSV)、21 CFR Part11 コンサルティング
2001年7月 IBM認定主幹コンサルタント
   ・アイビーエム・ビジネスコンサルティングサービス株式会社へ出向
     マネージング・コンサルタント
2004年7月 日本アイ･ビー･エム株式会社　退社
2004年8月 株式会社イーコンプライアンス　設立
現在に至る。

主な活動
医薬品業界・医療機器業界を担当し30年以上のキャリアをもつ。
医薬品企業・医療機器企業における、コンピュータ化システムの品質保証（CSV、Part11対応）をはじめ、リスクマネジメント、CAPA（是正処置および予防処置）、QMS構築支援、FDA査察対応等のコンサルテーションなどを幅広く展開している。
サイエンス＆テクノロジー株式会社におけるセミナー開催多数。

主な著書
実践ベンダーオーディット実施の手引き（2008年）イーコンプライアンス刊
コンピューターシステムバリデーション・厚労省ER/ES指針・21 CFR Part 11「社内監査の手引き」（2009年）イーコンプライアンス刊
GAMP5,Annex11,厚労省CSV指針を基礎から解説【超入門シリーズ1】コンピュータバリデーション
（2009年）イーコンプライアンス刊
【厚労省新ガイドライン対応シリーズ】医薬品・医薬部外品製造販売業者における「コンピュータ化システム適正管理ガイドライン」対応準備の手引き（2010年）イーコンプライアンス刊
GAMP 5, FDA, ANNEX 11 に対応した【改定版】コンピュータバリデーション実施の手引き（2011年）イーコンプライアンス刊
対応のためのガイドラインサンプル付【改定版】厚労省ER/ES指針対応実施の手引き（2011年）イーコンプライアンス刊
【要点をわかりやすく学ぶ】製薬・医療機器企業におけるリスクマネジメント（2015年）サイエンス＆テクノロジー刊
【要点をわかりやすく学ぶ】PIC/S GMP Annex15 適格性評価とバリデーション（2015年）サイエンス＆テクノロジー刊

セミナー受講料

※お申込みと同時にS&T会員登録をさせていただきます(E-mail案内登録とは異なります)。

【医療機器ソフトウェア対応／サイバーセキュリティ（IEC 81001-5-1:2021）対応2日間コース】77,000円
【個別でのお申込み】55,000円
※当セミナーは、E-mail案内登録価格の適用はございません。定価のみでの販売となります。
※お申し込みの際、備考欄にご希望のセミナーをご記入下さい。

受講、配布資料などについて

受講特典
当セミナーでご紹介する手順書や様式を割引価格で購入することができます。
セミナーで配布する手順書サンプルはあくまでも講義内容を補うためのものです。
また必ずしも関連するすべての手順書・様式等を配布することをお約束するものではありません。
万が一、記載内容等に間違いがあった場合、当社は一切責任を負いません。
配布した手順書を自社で発行される場合は、自己責任でお願いいたします。
手順書等を正式に発行される場合は、有償版をご購入いただくことを推奨いたします。
有償版ご購入の場合、1年間の無料更新をご提供いたします。（修正や規制要件の改正などに対応いたします。）
またご質問に定義ご回答いたします。

Live配信受講者 限定特典のご案内
当日ご参加いただいたLive(Zoom)配信受講者限定で、特典(無料)として「アーカイブ配信」の閲覧権が付与されます。

ZoomによるLive配信　►受講方法・接続確認（申込み前に必ずご確認ください）
アーカイブ配信　►受講方法・視聴環境確認（申込み前に必ずご確認ください）

配布資料

• PDFテキスト(印刷可)