Article Posted date 10 May 2024

2024年4月1日をもって、薬机法(「医薬品、医疗机器等の品质、有効性及び安全性の确保等に関する法律」)に基づく医疗机器の新たな基本要件基準(基本要件基準第12条第3项)の経过措置期间が満了しました。

これにより企業は、製造?販売を行う医療機器(すでに製造?販売を行っているものを含む)について当該基準への適合を示すため、JIS T 81001-5-1等への適合性を確認することが必须となります。適合の確認が不十分である場合は、医療機器の上市(販売)が不可になるだけでなく、上市済みの医療機器についても回収措置を求められる等の可能性があります。

本稿では、経过措置期间満了を受けて、公司が当该対応を行うにあたって直面している课题?疑问について解説するとともに、特に重点的な対応が求められる分野について绍介します。

目次

1.医疗机器の基本要件基準への适合を示すために実施が必要な事项(文书、体制等)
2.罢笔尝颁にてサイバーセキュリティを确保するために重点的な対応が求められる分野
3.まとめ

1.医疗机器の基本要件基準への适合を示すために実施が必要な事项(文书、体制等)

「」(厚生労働省)によると、製品ライフサイクル全体(Total Product Life Cycle、以下、TPLC)におけるサイバーセキュリティの確保について、JIS T 81001-5-1等への適合性確認をもって、基本要件基準第12条第3項への適合を確認したとみなせるとされています。

ここでは、JIS T 81001-5-1を例にとり、企業において実施が必要と考えられる事項の例を紹介します。まず、はじめに、当該規格における要求事項を踏まえた社内ルールおよび体制を整備するにあたり、それらを規定するための文書類を特定します。次に、既存の社内文書類とのマッピングを行ったうえで、不足している文書類については、新たに作成を行います。最後に、各文書類で定義された体制?手順(リスクマネジメントプロセス、脆弱性通知の仕組み、問い合わせ窓口等)が社内で備えられていることを確認し、必要に応じて、整備?構築を行います。

【JIS T 81001-5-1における企業に求められる対応例(1)】

# JIS T 81001-5-1における要求事項 作成もしくは特定が必要と考えられる文书(例)
1 一般要求事项(箇条4)
  • サイバーセキュリティ対応手顺书
  • サイバーセキュリティリスクマネジメント报告书
2 ソフトウェア开発プロセス(箇条5)
  • ソフトウェア开発计画书
  • ソフトウェア设计文书システム构成図(信頼境界含む)
  • システム试験成绩书
3 ソフトウェア保守プロセス(箇条6)
  • ソフトウェア保守计画书
4 セキュリティに関连するリスクマネジメントプロセス(箇条7)
  • サイバーセキュリティリスクマネジメント报告书
5 ソフトウェア构成管理プロセス(箇条8)
  • ソフトウェア构成管理プロセス手顺书
  • SBOM
6 ソフトウェア问题解决プロセス(箇条9)
  • サイバーセキュリティ脆弱性対応手顺书

出典:「医疗机器の基本要件基準第12条第3项の适用に関する质疑応答集(蚕&补尘辫;础)について」(厚生労働省)を基に碍笔惭骋作成

【JIS T 81001-5-1における企業に求められる対応例(2)】

医疗机器におけるサイバーセキュリティ确保の课题_図表1

JIS T 81001-5-1とは

医疗机器の製造业者が、製品の开発ライフサイクルの一部として実施する取组みのうち、特に当该製品のセキュリティを确保するために最低限実施するべき取组みを规定しているものです。

2.罢笔尝颁にてサイバーセキュリティを确保するために重点的な対応が求められる分野

基本要件基準第12条第3项への适合を示すために、特に重点的な対応が求められる分野として、ソフトウェア部品表(厂叠翱惭)の作成?活用、およびステークホルダー(医疗机関等)との连携可能な体制(笔厂滨搁罢)の构筑が挙げられます。

厂叠翱惭は、ソフトウェア管理の一手法であり、导入の际には、组织の现状に适合させることが重要です。そのため、厂叠翱惭构想検讨の段阶で、适用范囲を当该基準の要求と自社の现况に合わせて検讨し、具体的な计画に落とし込むことが肝要です。

また、笔厂滨搁罢の构筑にあたっては、ステークホルダーとサイバーセキュリティに関する情报を遅滞なく情报共有するために、医疗机器を取り巻く胁威を特定し、関连するリスクを评価して、それに适宜対応するための能力を最大化することが期待されます。関连するリスクを评価?共有するためには、先に挙げた厂叠翱惭を、ベースとなる情报を提供する重要なツールとして、笔厂滨搁罢が実现するセキュリティ机能のプロセスに组み込むことが重要です。

【厂叠翱惭を活用した笔厂滨搁罢构筑によるステークホルダーとの连携】

医疗机器におけるサイバーセキュリティ确保の课题_図表2

3.まとめ

公司において医疗机器のサイバーセキュリティを确保することが、法令上求められています。医疗机器の上市や継続的な贩売を确保するためにも、公司においては対応が不十分である分野を特定したうえで、必要な体制?手顺等の整备?构筑を行い、各要件を确実に満たしていくことが肝要です。

执笔者

碍笔惭骋コンサルティング
シニアコンサルタント 末永 剛之

お问合せ

関连サービス

本稿に関连するサービスを绍介します。下记にないものもお気軽にお问い合わせください。

医疗机器におけるサイバーセキュリティ対応支援
医疗机器におけるサイバーセキュリティ対応支援

薬机法に基づく基本要件基準改正に伴い、医疗机器の製品ライフサイクル全体のセキュリティ対応を支援します。

医疗机器ソフトウェア部品表による构成管理?情报连携体制の确立
医疗机器ソフトウェア部品表による构成管理?情报连携体制の确立

医療機器のサイバーセキュリティ対策として、対応が必须となるSBOM(ソフトウェア部品表)の作成?活用に係る施策の立案および推進を支援します。

PSIRT
PSIRT (Product Security Incident Response Team)

碍笔惭骋は、自社製品の脆弱性の问题に迅速な対応を可能とし、製品のセキュリティ品质管理?向上を実现する笔厂滨搁罢构筑を支援します。

葉と錠剤

ライフサイエンス?ヘルスケア

ライフサイエンス?ヘルスケア

戦略策定からオペレーション?滨罢の领域まで、製薬会社?医疗机器公司、ヘルスケア参入を目指す异业种公司における各种サービスを提供します。