医療機器のソフトウェアバリデーションとサイバーセキュリティ
（2回シリーズ）
第1回　ソフトウェアの具体的なバリデーション方法
第2回　サイバーセキュリティの規制動向と対策ポイント

＜Zoomによるオンラインセミナー:見逃し視聴あり＞

講師

(株)ファーレックス 技術・薬事部マネージャー 宇野宏志 氏

講師紹介

■主経歴
・医療機器輸入の大手商社のフィールドサービス部にて人工透析装置、人工呼吸器、麻酔器、輸液ポンプ、心電図モニタ等の保守/修理業務に従事した後、同社マーケティング部にて前記機器類を含む取扱い製品の市場開拓及び営業サポート。
・新生児用高頻度人工呼吸器を扱う医療機器会社に移り、セールスエンジニアとして従事した後、同社の分離独立会社に移り、呼吸関連機器の開発・製造・販売に携わると同時に品質管理業務に従事。
・現在、(株)ファーレックスにて技術・薬事コンサル業として活動中。

■専門・得意分野
・電気・電子工学、機械工学（主に圧縮気体）
・組込みプログラム、Windowsアプリの製作経験あり
・英語（技術資料、標準規格類などの翻訳、海外企業との交渉）

■本テーマ関連の学会・協会・団体等
・医工連携推進機構登録コーディネータ
・日本医療機器工業会

※配布資料等について

●配布資料はPDF等のデータで配布致します。ダウンロード方法等はメールでご案内致します。
・配布資料に関するご案内は、開催1週前～前日を目安にご連絡致します。
・準備の都合上、開催1営業日前の12:00までにお申し込みをお願い致します。
　（土、日、祝日は営業日としてカウント致しません。）
・セミナー資料の再配布は対応できかねます。必ず期限内にダウンロードください。

●当日、可能な範囲でご質問にお答えします。（全ての質問にお答えできない可能性もございます。何卒ご了承ください。）
●本講座で使用する資料や配信動画は著作物であり、無断での録音・録画・複写・転載・配布・上映・販売などは禁止致します。
●ご受講に際しご質問・要望などございましたら、下記メールアドレス宛にお問い合わせください。
req@johokiko.co.jp

セミナーポイント

■セミナー全体を通しての開催主旨
　ソフトウェア（プログラム）が医療機器に組込まれた、又はソフトウェアそれ自体が医療機器であるとき、両者とも設計開発においては標準規格類に則った検証ならびにバリデーションの実施が要求されています。さらに、患者・個人情報のデータの生成、記録、外部機器との通信などの機能をもつときは、それらデータに対するセキュリティの確保と維持が要求されています。この2種類の要求事項は、医療機器に求められる一定水準の品質・安全性・有効性という観点で互いに関係し合います。例えば、ソフトウェアライフサイクルとサイバーセキュリティ規格の関係がそれであり、リスクマネジメントやユーザビリティに関する規格による要求事項に対しても適合が必要となります。
　今般の2回シリーズセミナーでは、1回目は医療機器としてソフトウェア設計開発のポイントを交えて検証とバリデーションの方法を解説し、2回目は設計開発の段階から採り入れるべきセキュリティ機能に係る法規類のポイントとともに、セキュリティ機能の実現について解説します。どちらも実務においては、各要求事項への適合に必要となる標準規格・ガイダンス文書が多くあるため、それらの相互関係についても解説します。

ソフトウェアの具体的なバリデーション方法

■講演ポイント
　検証とバリデーションにフォーカスしたソフトウェア設計開発の管理とともに、サイバー機能との関連を述べ、各種のテスト方法やリスクマネジメントについても解説します。また、ソフトウェアライフサイクル規格への適合に関する文書例を示します。

■受講後、習得できること
・ソフトウェアライフサイクル規格に係る文書
・ソフトウェアテスト方法のポイント
・関連規格（特にサイバーセキュリティ規格）との関係

■講演プログラム
1.医療機器ソフトウェア＆SaMD（医療機器としてのソフトウェア）

　①ソフトウェアに求められる品質
　②安全クラスとリスクマネジメント
　③セキュリティリスク管理（サイバーセキュリティ＆情報セキュリティ）

2.ソフトウェアの設計開発管理
　　～ソフトウェアライフサイクル規格にフォーカス、及びサイバーセキュリティ機能との関連～

　①開発計画、プロセス設計
　②要求事項の分析
　③アーキテクチャの設計
　④詳細設計
　⑤ユニット実装
　⑥結合とその試験
　⑦システム試験
　⑧リリース
　⑨文書作成（要求仕様、検証＆バリデーション、リスクマネジメント）

3.FDAガイダンス文書、関連標準規格類

　①FDA「ソフトウェアバリデーションの一般原則」
　②EU MDR（医療機器規則）
　③関連標準規格IEC 81001-5-1、IEC 80002-1、IEC 62366-1、IEC 82304、ANSIソフトウェア関連規格など

4.ソフトウェアのリスクマネジメント

　①標準規格類（3-③）の要求事項
　②ANSI／AAMI SW96 の要求事項
　③サイバーセキュリティの要求事項

5.検証とバリデーション

　①検証とバリデーションの違い（目的、内容及び結果）
　②ソースコードのテスト
　　　・コーディング規約、プログラミング書法、静的解析＆動的解析
　③ソフトウェアテスト：ユニット単体／結合、システム、受入
　④ソフトウェアテスト技法
　　　・ブラックボックステスト（同値分割法、境界値分析等）
　　　・ホワイトボックス（制御フローテスト等）
　⑤スケジュールとコストについて

5.QMSに用いるソフトウェアとそのバリデーション

　①規制対象となる品質管理プロセス用いるソフトウェア
　②品質・安全性に影響を及ぼす可能性を考慮
　③ISO／TR 80002-2に準拠したバリデーション

（質疑応答）

サイバーセキュリティの規制動向と対策ポイント

■講演ポイント
　医療機器ソフトウェアに対するセキュリティ要求事項は、基本要件基準になっており、①製造元開示説明書、②SBOM（ソフトウェア部品表）及び③製品寿命とサービス終了についてそれぞれ顧客への通知が求められています。このため、これら3項目に係る文書作成に焦点を置いた解説をします。
　また、セキュリティ管理策はソフトウェアの設計開発から採り入れることになっており、ソフトウェアライフサイクル規格との関係にもフォーカスし、セキュリティ仕様書なども例示して説明します。

■受講後、習得できること
・製造元開示説明書に関する注意・留意事項
・サイバーセキュリティの考え方（脅威モデル、評価スコア等）
・関連規格（特にソフトウェアライフサイクル規格）との関係

■講演プログラム
1.サイバーセキュリティの全体像
　　　・セキュリティへの脅威、被害例、対策の基本的考え方など～

2.サイバーセキュリティの理解に必要な基本的用語

　　　・サイバーセキュリティと情報セキュリティ　・認証と許可　・情報システムのC.I.A
　　　・脆弱性　・脅威　・マルウェア　・ランサムウェア　・サイバー攻撃（及びその種類）
　　　・脅威モデル化　・脆弱性のスコアリング

3.国内外のサイバーセキュリティ関連の通知、規格及びガイダンス文書

a)国内の行政通知
　　　・「医療機器におけるサイバーセキュリティ～」と題する文書～

　①基本要件基準
　②医療機関（医療提供者）側に求められるセキュリティ対策
　③個人／患者情報の保護、プライバシーポリシー
　④医療機関における医療機器のサイバーセキュリティ確保のための手引書

b)海外の通知文書類
　　　・FDAガイダンス文書、IMDRFガイダンス文書等

c)標準規格類
　　　・IEC 81001-5-1、IEC 62740、リスクマネジメントとレポート
　　　・ソフトウェアの検証及びバリデーション

4.ソフトウェアの設計開発管理
　　～ソフトウェアライフサイクル規格にフォーカス、及びサイバーセキュリティ機能との関連～

　①開発計画、プロセス設計
　②要求事項の分析
　③アーキテクチャの設計
　④詳細設計
　⑤ユニット実装
　⑥結合とその試験
　⑦システム試験
　⑧リリース
　⑨文書作成（要求仕様、検証＆バリデーション、リスクマネジメント）

5.重要な要求事項

　①サイバーセキュリティポリシー文書の目的、解説と例示
　　　・セキュリティリスクのアセスメント、市販後のサイバーセキュリティ考察、サイバーセキュリティの維持・更新
　②製造元開示説明書の目的、解説と例示
　　　・開示説明書に記載する各セキュリティ管理策
　　　・セキュリティ管理策に関係する標準規格と概要（ISO／IEC 15408等）
　③ソフトウェア部品表（SBOM）
　　　・SBOM記載項目
　　　・SBOMライフサイクル（維持と更新）
　④製品寿命（EOL）及びサービス終了（EOS）、顧客フォローアップ

6.サイバー攻撃対策・個人情報保護

　①攻撃対策のポイント
　②情報管理の社内体制
　③機密情報の取扱いに関するルール

（質疑応答）