(公印省略)

その取扱いを下記のとおりとするので、御了知の上、貴管内関係団体、関係業者等への周知徹底をお願いします。

また、本通知の写しを独立行政法人医薬品医療機器総合機構理事長、一般社団法人日本医療機器産業連合会会長、一般社団法人米国医療機器・IVD工業会会長、欧州ビジネス協会医療機器委員会委員長、欧州ビジネス協会臨床検査機器試薬(体外診断)委員会委員長、一般社団法人日本臨床検査薬協会会長及び医薬品医療機器等法登録認証機関協議会代表幹事宛て送付することを申し添えます。

記

1．基本要件基準第12条第3項の趣旨

基本要件基準は、医療機器が具備すべき品質、有効性及び安全性に係る基本的な要件を規定したものであり、医療機器に対しリスクマネジメントの適用によってリスクを許容可能な範囲まで低減することが要求されている。

サイバーセキュリティ対策については、「医療機器におけるサイバーセキュリティの確保について」(平成27年4月28日付け薬食機参発0428第1号及び薬食安発0428第1号)、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成30年7月24日付け薬生機審発0724第1号及び薬生安発0724第1号)等において必要な対応を行うよう求めてきたところであるが、今般、令和2年3月に国際医療機器規制当局フォーラム(IMDRF)において、「医療機器サイバーセキュリティの原則及び実践に関するガイダンス」が取りまとめられたことに伴い、IMDRF N47文書(Essential Principles of Safety and Performance of Medical Devices and IVD Medical Devices)及びN60文書(Principles and Practices for Medical Device Cybersecurity)を踏まえ、プログラムを用いた医療機器に対しサイバーセキュリティを確保するための設計及び製造、ライフサイクル活動として、①製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること、②サイバーリスクを低減する設計及び製造を行うこと、③適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定すること、の3つの観点を基本要件基準に盛り込むこととし、基本要件基準第12条に第3項を追加する改正を行ったものである。

2．基本要件基準第12条第3項の要点・解釈

(1)　「プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器」とは、他の機器(医療機器、IoT機器、周辺機器、外部記録媒体(USB、SD、HDD、CD、DVD等)、電子カルテ、PC(外部からの持ち込みPC含む))、ネットワーク(院内システム、院外システム、グローバル)等に接続して電磁的情報のやり取りをする医療機器である。

(2)　「外部からの不正アクセス及び攻撃アクセス等」は、脆弱性を攻撃対象とする等の設計者が通常使用において想定していない手法等を用いた悪意を持った不正アクセスや、意図的に過剰な負荷を与える攻撃(DoS攻撃(Denial of Service Attack)、DDoS攻撃(Distributed Denial of Service Attack)等)、マルウェア(悪意のあるソフトウェア)の感染を意図する攻撃によるアクセス等を想定している。昨今のサイバー攻撃についてはその攻撃形式が多様化・高度化しており、今後はこれらの攻撃手法の他にも対応することも必要となり得る。

(3)　「動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し」とは、医療機関、在宅、救急、植込み型機器等の動作環境並びに接続するネットワーク種別やオペレーティングシステム及び各種ライブラリ等のプラットフォームといった使用環境を特定し、その使用環境に適した運用体制等を含めた医療機器の意図する使用に適切な要件を設定することである。

(4)　「当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理」とは、他のリスクと同様に、サイバーセキュリティに係るリスクに対しても、適切にリスクマネジメントを行い、例えば、JIS T 81001―5―1に示されている通り、サイバーセキュリティの脆弱性を特定し、その悪用によって生じる脅威や悪影響に伴うリスクを評価し、適切にリスクをコントロールすることである。

(5)　「ライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造」とは、全ライフサイクルにわたってサイバーセキュリティを確保するため、設計・製造工程における取組だけでなく、医療機関との連携、脆弱性対策(市販後のアップデート等を含む)に係る計画等も踏まえ、それが達成できるように、また、問題点や脆弱性が見つかった場合に対応できるように設計・製造を行うことである。

3．基本要件基準第12条第3項の適用・適合性の確認について

(1)　プログラムを用いた医療機器の製造販売業者、外国製造医療機器等特例承認取得者又は外国指定高度管理医療機器製造等事業者(以下「製造販売業者等」という。)はこれまでもJIS T 2304によって、医療機器ソフトウェアライフサイクル全体を通じて、適切なリスクマネジメントを実施することにより、医療機器の安全性と基本性能を確保することが求められてきたところであるが、プログラムを用いた医療機器については、これに加えて、JIS T 81001―5―1によって、製品ライフサイクルにおける取組を通じたサイバーセキュリティ対策をより強化し、サイバーセキュリティに関するリスクを許容可能な範囲となるまで低減し、患者への危害の発生及び拡大の防止に繋げる必要があること。

※　JIS T 81001―5―1(ヘルスソフトウェア及びヘルスITシステムの安全、有効性及びセキュリティ―第5―1部：セキュリティ―製品ライフサイクルにおけるアクティビティ)は、医療機器の製造販売業者がJIS T 2304(医療機器ソフトウェアライフサイクルプロセス)に規定する製品ライフサイクルの要求事項に加えて実施するサイバーセキュリティに関する取組を規定している。

(2)　JIS T 81001―5―1の他、プログラムを用いた医療機器のサイバーセキュリティの確保について、IEC 81001―5―1等の国際的に用いられている適切な規格等への適合性を確認することをもって基本要件基準第12条第3項への適合を確認したものとして差し支えないこと。なお、承認申請(承認事項一部変更承認申請を含む。以下同じ。)又は認証申請(認証事項一部変更認証申請を含む。以下同じ。)に際しては、それらの規格等を用いることの妥当性を説明すること。

(3)　製造販売業者等は、プログラムを用いた医療機器のサイバーセキュリティの確保の確認及び検証を適切に考慮及び実施する体制を整備し、その適合に関する確認等の実施を適切に記録し保管すること。医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号)第23条の2の5第7項又は第23条の2の23第4項の規定による調査の調査権者の求めなどに応じて資料を提示し、適切な説明を行わなければならないこと。

(4)　高度管理医療機器又は管理医療機器の承認申請又は認証申請を行う製造販売業者等は、申請に当たり、当該医療機器についてJIS T 81001―5―1等への適合性を示す資料を添付する必要があること。

また、一般医療機器についても同様に適合性を確認する必要があるが、届出の際に資料の添付は要さないこと。

4．経過措置について

本改正で追加される基本要件基準第12条第3項は令和5年4月1日より適用されるが、令和6年3月31日までの間、なお従前の例によることができること。

(1)　改正後の基本要件基準が適用される令和6年3月31日以前に承認若しくは認証を受けた医療機器又は届出された医療機器については、改めて申請・届出を行う必要はないものとする。

ただし、承認認証事項又は届出事項に何らかの変更が生じる等により、令和6年4月1日以降に当該医療機器の承認又は認証事項一部変更申請が必要な場合にあっては、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合を示す資料を添付すること。

なお、令和6年4月1日以降に製造販売する医療機器は、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を求めに応じて提示できるようにしておくこと。

令和6年3月31日以前に製造販売された医療機器に関する取扱いについては追って通知するものとする。

(2)　令和6年3月31日以前に承認申請若しくは認証申請又は届出される医療機器については、承認申請又は認証申請若しくは届出時に、改正後の基本要件基準への適合を示す資料を添付する必要はないものとする。

令和6年4月1日以降の取扱いについては、4．(1)のただし書き及びなお書きを準用する。

(3)　令和6年4月1日以降に承認申請若しくは認証申請を行う医療機器については、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を添付する必要がある。届出を行う医療機器についても、改正後の基本要件基準への適合を確認すること。