最新動向/市場予測

米国の医用画像機器団体がGMLP指導原則に対するコメントを公表

【第151号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

第151号 2022.3.7公開

2022年2月16日、米国電気機器製造業者協会(NEMA)傘下の医用画像工学関連機器事業部会(MITA)は、米国食品医薬品局(FDA)、カナダ保健省、英国医薬品医療製品規制庁(MHRA)が共同で発表した「医療機器開発向けグッド・マシンラーニング・プラクティス(GMLP):指導原則」に対するコメントを公表しました。

本指導原則は、AI(人工知能)/ML(機械学習)ベースの製品固有の特性に対応するグッド・マシンラーニングプラクティス(GMLP)を構築するための基盤を築き、急速に進歩する領域における将来の成長を醸成するのに役立てることを目標として、2021年10月27日に3カ国が共同提案したものであり、以下の10項目から構成されています。

#1. トータル製品ライフサイクル(TPLC)を通して、学際的な専門知識が活用される

#2. 優れたソフトウェアエンジニアリングやセキュリティプラクティスが展開される

#3. 臨床研究の参加者やデータセットが、対象とする患者集団の代表者となる

#4. トレーニング用データセットは、テストセットから独立している

#5. 選択されたデータセットは、最善の利用可能な方法に基づいている

#6. モデル設計は、利用可能なデータに合わせて、機器の意図する使用を反映したものとする

#7. 焦点は、人間-AIチームのパフォーマンスに置かれる

#8. 検証は、臨床的に適切な状況下で、機器のパフォーマンスを証明する

#9. ユーザーには、明確で不可欠な情報が提供される

#10. 展開されたモデルはパフォーマンスのためにモニタリングされ、再トレーニングのリスクは管理される
 

上記の指導原則に対して、MITAは以下のようなコメントを表明しています。

  • 臨床研究の参加者が対象患者の母集団を代表していることを保証する適切な特徴が何かを明確にする(原則#3)
  • 開発者と規制当局が、モデル設計・開発に関連したリスクに対して共通理解を持っていることを保証するために、原則#6で参照する「既知のリスク」を明確にする
  • ユーザーの表示付に最も適切な情報は何か、規制当局への提出に最も適切な情報は何かを探究する(原則#9)
  • 意図した母集団による使用に機器が適合しているかを評価することが、規制当局によるレビュープロセスの一部であることを明確にする


なお、MITAは、2019年10月8日に「ANSI/NEMA HN 1-2019: 医療機器セキュリティのための製造業者開示説明書」を公開するなど、医療機器サイバーセキュリティの標準化活動を積極的に推進しています。加えて、保健医療産業のサイバー的な健康状態全体を向上させるために、以下のような原則を支持しています。

  • サイバーセキュリティは、製造業者、医療機関、患者およびその他など、すべてのステークホルダー間の共有責任であると認識する。
  • 優れたサイバーハイジーンは、機器自体のセキュリティを越えた複数の要因に依存している:適切なネットワークセキュリティ、適切な物理的制御、第三者の支援のすべてが重要な役割を担う。
  • グローバル標準規格の重要性を認識し、新たな規制の代わりに信頼しなければならない。標準規格は、産業の自己規制の屋台骨であり、しばしば規制以上の頻度で更新されて、変化する概況への適応を可能にする。
  • 特定のサイバーセキュリティリスク低減策の参照を避けるべきである。サイバー脅威は、リスク低減策と同様に、絶え間なく進化する。現在、適切または最善の方策も、数年以内或いは数ヶ月以内に適切でなくなる可能性がある。
  • 技術だけではセキュリティを提供できないことを認識する。優れたサイバーハイジーンを保証するために、組織的対策も設定しなければならない。
  • 機器の限定されたライフサイクルを認識する。機器の物理的寿命と機器のデジタル的寿命は多くの要因に依存しており、非常に異なる場合がある。使われなくなったレガシー機器の転換を動機付けするポリシーを構築する必要がある。
  • 情報共有ポリシーは、法的な防護柵と参加のインセンティブを明確に設定すべきであった。情報共有の要求事項が、もし展開されるのなら、医療機器の所有者/使用者に拡張されるべきである。これらのポリシーは、他の産業で成功裏に展開されてきた一方、医療と金融の間には、認識されなければならない重大な相違点がある。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・AI/MLベースの医療機器製品の臨床試験に参加する医療施設は、文書化されたセキュリティ管理ポリシー/手順をベースとした組織的対策を継続的に運用していることが、GMLPの前提条件となっていることを認識した上で、臨床試験依頼者(Sponsor)や臨床試験責任医師(Investigator)とのセキュリティ情報共有・分析エコシステムを構築することが求められる。
 

医療品メーカー

・AI/MLベースの医療機器製品の研究開発を担う医療機器メーカーは、医療機器サイバーセキュリティ関連法令・ガイドラインを遵守する体制の整備が、適正なGMLPの構築・運用の共通基盤となる点を認識した上で、臨床開発部門と製品セキュリティ部門の連携・コミュニケーション活動を継続的に向上させる必要がある。
 

医療機器メーカー

・AI/MLベースの医療機器(Software as a Medical Device(SaMD)含む)とのコンビネーション製品の研究開発を担う医薬品メーカーは、医薬品に係るGCPと医療機器に係るGMLP双方に関わるセキュリティ管理・運用体制の構築・運用が、製品全体の有効性・安全性を保証する前提条件となる点を認識する必要がある。
 

サプライヤー

・AI/MLベースの医療機器製品向けに臨床試験管理ソリューションを提供するサプライヤー企業は、医用画像工学関連機器事業部会(MITA)など、GMLPのリスク管理や標準化活動に関わる組織・団体の動向をウォッチしながら、データマネジメント/インシデント対応管理などのサポート機能やステークホルダー間のコミュニケーション支援機能を強化しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?