AIを活用したプログラム医療機器(SaMD)の開発が加速するなか、薬事承認審査では臨床性能と並んでサイバーセキュリティと個人情報保護への対応が重みを増している。クラウド解析、ウェアラブル端末との連携、院外へのデータ転送など、SaMDの多くはネットワーク利用を前提に設計されており、審査当局の指摘も、こうした「情報の流れ」を確認するものが目立つようになってきた。本稿では、プログラム医療機器の薬事申請に関わる資料をもとにサイバーセキュリティ等の観点から審査照会の傾向を整理した。
分析からまず見えてくるのは、サイバーセキュリティに関する照会が、いくつかの「型」に整理できることである。たとえば、関連通知・ガイダンスを踏まえてリスクマネジメントと対策を示し、サイバーリスクが受容可能であることの説明を求める「リスクマネジメント型」は、最も基本的な照会の一つと考えられる。このほかにも、セキュリティ対策の運用体制の構築・維持を求めるものなどが散見される。どの型の照会を受けやすいかは、製品がスタンドアロンか、クラウド連携かといったアーキテクチャによって傾向が異なり、審査の指摘へ影響していることが考えられる。
サイバーセキュリティとは別の話題であるが、個人情報保護法への準拠を上市前後で求める確認が行われる場合がある。またクラウド型製品では、院外に患者情報が出る場合の取扱いや匿名化・データ伝送のあり方まで踏み込んで問われることがあり、製品アーキテクチャによって問われる深さは変わる。転送・保存される診療情報の取扱い体制やシステム間のデータの流れなど、いずれの枠にも収まらない「情報の取扱い」そのものへの指摘も一定の存在感を持つ。
こうした傾向を踏まえると、SaMDの薬事・開発戦略では、セキュリティ対応の論点を開発段階で整理を行い、設計初期から市販後までを見据えて組み込むことが、審査の円滑化につながると考えられる。
イベントのご案内
本稿で紹介した審査照会の傾向については、「SaMD×サイバーセキュリティ 最前線」にて、ウェブ記事では伝えきれない分析結果を含め、プログラム医療機器のサイバーセキュリティ等に関する審査トレンドを解説する。SaMDの薬事・開発・品質保証・セキュリティに携わる方から、最近の動向が気になる方まで、ぜひご参加いただきたい。
▶ イベントの詳細・お申し込みはこちら:
https://software-ra.com/seminar/20260624_seminar.html
執筆者:株式会社Software Regulation 武田瑛司
