JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

3．基本要件基準第12条第3項の適用・適合性の確認について

(1)　プログラムを用いた医療機器の製造販売業者、外国製造医療機器等特例承認取得者又は外国指定高度管理医療機器製造等事業者(以下「製造販売業者等」という。)はこれまでもJIS T 2304によって、医療機器ソフトウェアライフサイクル全体を通じて、適切なリスクマネジメントを実施することにより、医療機器の安全性と基本性能を確保することが求められてきたところであるが、プログラムを用いた医療機器については、これに加えて、JIS T 81001―5―1によって、製品ライフサイクルにおける取組を通じたサイバーセキュリティ対策をより強化し、サイバーセキュリティに関するリスクを許容可能な範囲となるまで低減し、患者への危害の発生及び拡大の防止に繋げる必要があること。

※　JIS T 81001―5―1(ヘルスソフトウェア及びヘルスITシステムの安全、有効性及びセキュリティ―第5―1部：セキュリティ―製品ライフサイクルにおけるアクティビティ)は、医療機器の製造販売業者がJIS T 2304(医療機器ソフトウェアライフサイクルプロセス)に規定する製品ライフサイクルの要求事項に加えて実施するサイバーセキュリティに関する取組を規定している。

(2)　JIS T 81001―5―1の他、プログラムを用いた医療機器のサイバーセキュリティの確保について、IEC 81001―5―1等の国際的に用いられている適切な規格等への適合性を確認することをもって基本要件基準第12条第3項への適合を確認したものとして差し支えないこと。なお、承認申請(承認事項一部変更承認申請を含む。以下同じ。)又は認証申請(認証事項一部変更認証申請を含む。以下同じ。)に際しては、それらの規格等を用いることの妥当性を説明すること。

(3)　製造販売業者等は、プログラムを用いた医療機器のサイバーセキュリティの確保の確認及び検証を適切に考慮及び実施する体制を整備し、その適合に関する確認等の実施を適切に記録し保管すること。医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号)第23条の2の5第7項又は第23条の2の23第4項の規定による調査の調査権者の求めなどに応じて資料を提示し、適切な説明を行わなければならないこと。

(4)　高度管理医療機器又は管理医療機器の承認申請又は認証申請を行う製造販売業者等は、申請に当たり、当該医療機器についてJIS T 81001―5―1等への適合性を示す資料を添付する必要があること。

また、一般医療機器についても同様に適合性を確認する必要があるが、届出の際に資料の添付は要さないこと。

4．経過措置について

本改正で追加される基本要件基準第12条第3項は令和5年4月1日より適用されるが、令和6年3月31日までの間、なお従前の例によることができること。

(1)　改正後の基本要件基準が適用される令和6年3月31日以前に承認若しくは認証を受けた医療機器又は届出された医療機器については、改めて申請・届出を行う必要はないものとする。

ただし、承認認証事項又は届出事項に何らかの変更が生じる等により、令和6年4月1日以降に当該医療機器の承認又は認証事項一部変更申請が必要な場合にあっては、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合を示す資料を添付すること。

なお、令和6年4月1日以降に製造販売する医療機器は、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を求めに応じて提示できるようにしておくこと。

令和6年3月31日以前に製造販売された医療機器に関する取扱いについては追って通知するものとする。

(2)　令和6年3月31日以前に承認申請若しくは認証申請又は届出される医療機器については、承認申請又は認証申請若しくは届出時に、改正後の基本要件基準への適合を示す資料を添付する必要はないものとする。

令和6年4月1日以降の取扱いについては、4．(1)のただし書き及びなお書きを準用する。

(3)　令和6年4月1日以降に承認申請若しくは認証申請を行う医療機器については、改正後の基本要件基準への適合を確認した上で、改正後の基本要件基準への適合に関する資料を添付する必要がある。届出を行う医療機器についても、改正後の基本要件基準への適合を確認すること。