米国FDAが医薬品流通情報の相互運用性に関するガイダンスを公開 ブックマークが追加されました
最新動向/市場予測
米国FDAが医薬品流通情報の相互運用性に関するガイダンスを公開
【第189号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年9月6日、米国食品医薬品局(FDA)は、医薬品サプライチェーン安全保障法(DSCSA)に基づく「特定のヒト用最終処方せん医薬品を追跡するための情報に関する相互運用性のある交換向けDSCSA標準規格の産業界向けガイダンス」最終版を公開しました。
第189号 2023.10.12公開
DSCSAは、偽造医薬品対策を目的として2013年11月27日に制定された連邦法であり、2023年11月27日より全面適用される予定です。FDAは、連邦食品医薬品化粧品法(FD&C法)およびDSCSAに基づき、処方せん医薬品に商品コード、ロット番号、有効期限、ランダム番号を含む2次元バーコードを表示し、医薬品製造業者から、再包装業者、卸売業者、サードパーティロジスティクス(3PL)プロバイダー、調剤者(医療機関・薬局)に至るまでのサプライチェーンの各段階を構成するすべての取引パートナーに対して、トレーサビリティを電子的に管理するよう求めています。
特にDSCSAは、医薬品の受け渡しで所有権が移転するごとに、以下のようなデータ(保存期間6年)を次の所有者に提供するよう求めています。
- 取引情報(TI):製品名、規格用量、商品コード、ロット番号、取引日、取引に関わった両者の名称と住所など
- 取引履歴(TH):製造業者から現在までの各取引情報の記録
- 取引明細(TS): 所有権を譲渡する事業主体の記述
今回公開されたガイダンスは、FD&C法に準拠して、医薬品流通サプライチェーンの間でセキュアな相互運用性のある電子データ交換の採用を促進するために必要な標準規格を特定し、このような標準規格の対象となる取引パートナー、製品、取引を明確化することを目的としており、以下のような構成になっています。
Ⅰ. イントロダクション
Ⅱ. 背景
Ⅲ. このガイダンスは誰に対して適用されるか?
Ⅳ. このガイダンスが取扱うのはどの製品か?
Ⅴ. このガイダンスが取扱うのはどの取引か?
Ⅵ. (FD&C法)第582条(A)(2)(A)の下で追跡情報の交換向けの最初の標準規格という目的のために相互運用性は何を包含するのか?
Ⅶ. (FD&C法)第582条(G)(1)の下で強化された医薬品流通安全保障のために相互運用性は何を包含するのか?
Ⅷ. 強化された医薬品流通安全保障の要求事項のために取引パートナーは何の標準規格を採用すべきか?
Ⅸ. 強化された医薬品流通安全保障の要求事項を遵守するための技術的アプローチの構築
このうち、医薬品サプライチェーン情報の相互運用性に関連して、「Ⅶ. (FD&C法)第582条(G)(1)の下で強化された医薬品流通安全保障のために相互運用性は何を包含するのか?」では、2023年11月27日以降、強化された医薬品流通安全保障の要求事項を充足するために、すべての取引パートナー間で、電子的手法の利用が要求されるとしています。その上で、具体的な取引パートナーに対する要求事項はとして、以下のような点を挙げています。
- 取引情報および取引明細を交換するためのセキュアな相互運用性のある電子的アプローチの利用で、一般的には、取引に含まれる個々の包装向けの包装レベルの製品識別子が含まれなければならない
- 包装レベルで製品を検証するためのシステムおよびプロセスを設定する
- 疑義のあるまたは違法な製品のリコールが起きた場合、長官またはその他の適切な連邦/州政府職員の要望に基づいて、取引情報および取引明細とともに迅速に対応するためのシステムおよびプロセスを設定する
- リコールまたは疑義/違法製品調査の理由で、長官またはその他の適切な連邦/州政府職員より要望があった場合、または疑義製品の調査やこのような政府機関の要望への支援の目的で権限のある取引パートナーより要望があった場合(機密商用情報および営業秘密を保護するセキュアな方法で)、製品向けの取引情報を生成するために必要な情報の収集(適宜製造業者に戻る)を促進するためのシステムおよびプロセスを設定する
- 取引パートナーが販売可能な返品を受け入れた場合、販売可能な返品製品をその製品に関する取引情報および取引明細と関連付けることができるように、製品および販売可能な返品を受け入れるためのシステムおよびプロセスを設定する
最後にFDAは、「Ⅸ. 強化された医薬品流通安全保障の要求事項を遵守するための技術的アプローチの構築」の中で、取引パートナーに対して、GS1の標準仕様であるEPCIS(EPCインフォメーション・サービス)規格を利用するよう推奨しています。加えて、取引パートナーが利用する技術的アプローチについて、FDAは、製品追跡のために統一されたプロセスや手法を促進し、機密商用情報や営業秘密の保護を保証するようなデータ標準規格を有効活用すべきだとしています。
米国の場合、2022年3月15日に連邦議会で可決・成立した「2022年重要インフラストラクチャ向けサイバーインシデント報告法(CIRCIA)」が適用される重要インフラストラクチャ構成組織(医療機関)から見ると、医薬品サプライチェーンを構成する取引パートナーは、重要インフラ向けサプライヤーの位置づけとなります。CIRCIAでは、インシデント確認後72時間以内に、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)に対して報告するよう求めています。また、取引パートナーがHIPAA侵害通知規則の事業提携者(BA)に該当する場合、500人以上に影響を与える保護対象保健情報侵害を発見したら60日以内に、保健福祉省(HHS)および個人に通知する義務があります。現在、重要インフラストラクチャのセキュリティに関わる連邦政府機関間で、インシデント報告について調整する動きがあり、米国市場向けに処方せん医薬品を製造・販売する医薬品メーカーやスタートアップ企業は特に注意が必要です。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本においても、医療機関は重要インフラストラクチャ事業者に該当し、サイバーサプライチェーンリスクマネジメントの一環として、厳格なサプライヤー管理を要求される傾向にある。日本の医療機関も、今後、製造業者と調剤者の間を一意の商品コードでつなぐ医薬品トレーサビリティシステムの導入に向けた動きが広がることを想定して、IT部門/情報セキュリティ部門と調達部門の連携を強化しながら、サプライチェーンセキュリティ管理策の効率化を図るべきである。
医療機器メーカー/医療品メーカー
・米国では、医療機器の固有識別子(UDI)システム規則導入に加えて、医薬品トレーサビリティシステムの完全導入により、医療器/医薬品メーカーが、一意の共通コードで製品物流の状況を即座に把握できる仕組みが完成することになる。今後、ブロックチェーン/分散台帳技術(DLT)/Web 3.0やIoT/エッジコンピューティングの導入・実装で注目される領域でもあるので、日本企業のIT部門/情報セキュリティ部門も製品セキュリティリスク管理の観点から動向をウォッチしておく必要がある。
サプライヤー
・日本国内で医薬品サプライチェーンシステムの開発・運用を受託するパートナー/サプライヤーも、米国における医薬品トレーサビリティシステムの完全導入が、メーカー/卸売/医療機関間のサプライチェーンセキュリティ対策にもたらすインパクトについて評価・分析を行い、日本国内のセキュリティリスク管理に生かすことを検討すべきである。
関連記事 [外部サイト]
- U.S. Food and Drug Administration(FDA)「DSCSA Standards for the Interoperable Exchange of Information for Tracing of Certain Human, Finished, Prescription Drugs Guidance for Industry」(2023年9月6日)
- U.S. Department of Homeland Security(DHS)「Harmonization of Cyber Incident Reporting to the Federal Government」(2023年9月6日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。