欧州連合が体外診断用医療機器規則(IVDR)の適用を開始 ブックマークが追加されました
最新動向/市場予測
欧州連合が体外診断用医療機器規則(IVDR)の適用を開始
【第157号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
第157号 2022.6.7公開
2022年5月26日、欧州連合(EU)は、「体外診断用医療機器規則(IVDR)」の適用を開始しました。これにより、従来の体外診断用医療機器指令(IVDD)を域内のミニマムスタンダードとして、各国規制当局が個別に所管し、関連法令を制定・運用する方式から、体外診断用医療機器規則(IVDR)を域内統一ルールとして、各国規制当局が連携して所管する方式に移行しました。医療機器に加えて、体外診断用医療機器についても、欧州委員会が開発・運用する欧州医療機器データベース(EUDAMED)に製品を登録し、機器固有識別子(UDI)などを活用しながら、製品ライフサイクル全体に渡る管理を行う必要があります。
また、日本で注目されているSaMD(Software as a Medical Device)に関連して、IVDR第2条では、以下のうち1つ以上に関する情報を提供するために利用されるソフトウェアが、IVDR上の「体外診断用医療機器」に該当するとしています。
- 生理学的または病理学的なプロセスまたは状態に関するもの
- 先天性の身体的または心理的障害に関するもの
- 病状または疾病の素因に関するもの
- 潜在的な受診者の安全性や適合性を決定するためのもの
- 治療の対応または反応を予測するためのもの
- 治療法を定めるまたはモニタリングするためのもの
EUでは、SaMDを「医療機器ソフトウェア」と総称しており、MDRまたはIVDRにおいて、「医療機器」の定義で特定された目的のために、単体または組み合わせて利用されることを意図したソフトウェアと定義しています。
医療機器ソフトウェアを含む体外診断用医療機器のサイバーセキュリティについては、MDRと同様に、EU医療機器調整グループが2020年1月7日に公表した「MDCG 2019-16 - 医療機器向けサイバーセキュリティ・ガイダンス」(最新版Rev.1、2020年7月発行)が適用されます。
なお、MDCG 2019-16 Rev.1では、Annex Ⅰの中で、ITセキュリティ要求事項をネットワーク・情報システムの安全に関する指令(NIS指令)の要求事項にマッピングしたものを提供しています。現時点でこのマッピングの対象となるのは、医療(病院、診療所)などの重要インフラを担う「重要サービスオペレーター(OES:Operator of Essential Services)」であり、オペレーターのサプライヤーである医療機器企業は直接の適用対象ではありません。ただし、現在、EUが策定作業を行っている「ネットワーク・情報システムの安全に関する指令の改正(NIS指令2)」草案によると、総売上高1000万ユーロ以上または従業員数50人以上の規模の医療機器製造企業は、新設される「重要な主体(Important Entity)」に該当し、直接の適用主体としての義務が発生する見通しです。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・欧州では、医療機器規則(MDR)と同様に、体外診断用医療機器規則(IVDR)の附表Ⅰの一部として、国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則及び実践」に準拠した「MDCG 2019-16-医療機器向けサイバーセキュリティ・ガイダンス」が適用される。医療機関で医療機器サイバーセキュリティに関わる管理者は、日本国内への適用が予定されているIMDRF ガイダンス遵守の先行ケースとして、欧州におけるレガシー医療機器やSaMD、医療AIなどの動向について注視しておく必要がある。
医療機器メーカー
・欧州事業を展開する医療機器メーカーは、体外診断用医療機器規則(IVDR)の要求事項への対応に加え、現在、欧州理事会と欧州議会の間で策定作業が進んでいるNIS指令2の適用主体としての対応準備も始めておく必要がある。
医療品メーカー
・医療機器と医薬品のコンビネーション製品を開発・提供するメーカーは、体外診断用医療機器規則(IVDR)適用開始に伴い、医薬品部分と同様に、医療機器部分(SaMD含む)についても、EU域内統一の製品ライフサイクル管理に基づく市販後安全対策や、その一環としてのサイバーセキュリティ/プライバシー対策を要求される点に留意する必要がある。
サプライヤー
・医療機器メーカーのグローバル事業展開を支援するテクノロジーサプライヤーは、体外診断用医療機器規則(IVDR)適用開始後も引き続き利用されるレガシー医療機器の脆弱性対策やサイバーインシデント対応準備に注意を払う必要がある。
関連記事 [外部サイト]
- European Commission「REGULATION (EU) 2017/746 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (Text with EEA relevance)」(2022年1月28日)
- European Commission「MDCG 2019-16 Rev.1 - Guidance on Cybersecurity for medical devices」(2020年7月更新)[PDF, 1,781KB]
- European Parliament「Cybersecurity: MEPs strengthen EU-wide requirements against threats」(2021年10月28日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
