(株)イーコンプライアンス 代表取締役　村山 浩一氏
【講師紹介】
 
【関連の活動など】
日本PDA　第9回年会併催シンポジウム　21 CFR Part 11その現状と展望
日本製薬工業協会　医薬品評価委員会　基礎研究部会主催（東京）
東京大学大学院医学系研究科　臨床試験データ管理学講座などにて多数講演。など

医療機器のサイバーセキュリティ対策において、生成AI技術を戦略的に活用する最先端の実務手法を学ぶ実践講座です。

IoT医療機器・ネットワーク接続型医療機器の急増に伴い、日米欧で強化されるサイバーセキュリティ規制（FDA Premarket/Postmarket Guidance、MDR、QMS省令改正等）への対応が喫緊の課題となっています。サイバー攻撃による企業被害が後を絶たない昨今、万全なセキュリティ対策は製品価値を守るためにも不可欠な要素です。

本セミナーでは、IMDRFガイダンス、IEC 81001-5-1:2021（JIS T 81001-5-1:2023）、医療機器基本要件基準第12条の改定、各国規制対応、SBOM（ソフトウェア部品表）、レガシー医療機器対策など、実務に直結する内容を体系的に解説します。また、ChatGPTやClaude等の生成AIツールを効果的に駆使し、脅威分析の高度化・脆弱性評価の効率化・セキュリティ設計文書作成の最適化・インシデント対応の迅速化を実現する具体的手法についても解説します。

受講後、習得できること
・生成AIを活用した医療機器サイバーセキュリティリスクアセスメント（TARA等）の効率的実施手法
・AI支援による脅威モデリング、脆弱性分析、ペネトレーションテスト計画の最適化技術
・FDA・MDR・PMDA要求事項に対応したサイバーセキュリティ文書作成の実践スキル
・インシデント対応計画策定とSOC運用のAI活用ノウハウ
・市販後サイバーセキュリティ管理とSBOM対応の実装方法

本テーマ関連法規・ガイドラインなど
・FDA Premarket Cybersecurity Guidance（2023年改訂版）
・FDA Postmarket Cybersecurity Guidance（2016年・2023年更新）
・MDR（欧州医療機器規則）Annex I サイバーセキュリティ要求事項
・IMDRF Principles and Practices for Medical Device Cybersecurity
・IEC 81001-5-1（医療機器のセキュリティ - パート5-1）
・ISO/IEC 27001（情報セキュリティマネジメントシステム）
・NIST Cybersecurity Framework（CSF）
・QMS省令におけるサイバーセキュリティ対応（2023年改正）
・医療情報システムの安全管理に関するガイドライン（厚生労働省）

※内容は予告なく変更になる可能性があります。

生成AIを駆使した医療機器サイバーセキュリティ対策の最新実務

はじめに

１．サイバーセキュリティとは
・サイバーセキュリティとは？
・情報セキュリティの3要素とサイバーリスクに対するリスクマネジメント
・本邦におけるこれまでのガイドライン
・医療機器におけるサイバーセキュリティ
・サイバーセキュリティに関する通知
・IMDRFのサイバーセキュリティに関するガイドライン
・医療機器のサイバーセキュリティ導入に関する手引書
・様々なステークホルダー
・製造販売業者のサイバーセキュリティ対応の責務
・Total Product Life Cycle（製品ライフサイクルの全体）
・サイバーセキュリティとリスクマネジメント
・設計段階・市販後におけるサイバーセキュリティ対策
・レガシー医療機器
・ソフトウェア部品表（SBOM）
・IEC 81001-5-1:2021（JIS T 81001-5-1：2023）とは

２．サイバーセキュリティに関する通知等
・IMDRFガイダンスと医療機器のサイバーセキュリティ導入に関する手引書の関係
・IEC 81001-5-1と手引書の関係
・サイバーセキュリティに関する手順書の作成方法

３．医療機器基本要件基準の改定
・基本要件基準とは？
・医療機器基本要件基準 第2条 リスクマネジメント
・医療機器の基本要件基準第12条「プログラムを用いた医療機器に対する配慮」
・基本要件基準 第12条第3項の適用について

４．各国の医療機器サイバーセキュリティ規制
・各国におけるサイバーセキュリティの対応状況
・米国：FDA Premarket/Postmarket Cybersecurity Guidance、FD&C法の改正
・欧州：MDR MDCGガイダンス
・IMDRFガイダンスと並行した各国規制への対応

５．IMDRFガイダンス概要
・Principles and Practices for Medical Device Cybersecurity
・IMDRFガイダンス文書の全体構成・目次
・追補ガイダンス（SBOM等）
・IMDRFガイダンス レガシー医療機器の取り扱い

６．IEC 81001-5-1:2021概要
・ヘルスソフトウェアと法規制対象
・プロセス、アクティビティ、タスクの関係
・脅威モデリングとは
・サイバーセキュリティとリスクマネジメント（ISO 14971）
・サイバーセキュリティとソフトウェア開発プロセス（IEC 62304）
・セキュリティ試験について

７．IEC 81001-5-1:2021逐条解説
・4 一般要求事項（品質マネジメント、リスクマネジメント、ソフトウェアアイテムの分類）
・5 ソフトウェア開発プロセス（5.1〜5.8）
・6 ソフトウェア保守プロセス
・7 セキュリティに関連するリスクマネジメントプロセス（7.1〜7.5）
・8 ソフトウェア構成管理プロセス
・9 ソフトウェア問題解決プロセス（脆弱性通知・レビュ・分析・対応）

８．医療機器のサイバーセキュリティ導入に関する手引書（第２版）
・目的・適用範囲・一般原則
・市販前の考慮事項（セキュリティ要求事項、TPLCリスクマネジメント、セキュリティ試験、顧客向け文書）
・市販後の考慮事項（CVD、脆弱性修正、インシデント対応、レガシー医療機器）
・附属書A：SBOM（作成・要素・推奨フォーマット・提供・事例）

Appendix I．IMDRFガイダンス逐条解説
・4.0 一般原則（国際整合、TPLC、共同責任、情報共有）
・5.0 市販前考慮事項
・6.0 市販後考慮事項（情報共有、CVD、脆弱性修正、インシデント対応、レガシー医療機器）

Appendix II．医療機関におけるサイバーセキュリティ対策
・医療情報システムの安全管理に関するガイドライン 第5.1版
・医療機関等におけるサイバーセキュリティ対策の強化について

Appendix III．ヘルスソフトウェア開発手順
・IEC 82304-1 ヘルスソフトウェア製品安全に関する一般要求事項
・ヘルスソフトウェア開発手順

生成AIを活用した業務改善

第1部：AIとはさみは使いよう
・生成AIによる産業革命
・生成AIの活用事例
・未来の規制遵守プロフェッショナル像

第2部：生成AIの基本知識
・大規模言語モデル（LLM）とは
・GPT（Generative Pre-trained Transformer）とは
・生成AI使用上の注意点
・ハルシネーション（hallucination）

第3部：ハルシネーションの低減方法

第4部：RAGについて
・RAG（Retrieval-Augmented Generation）アプローチによる精度向上

第5部：生成AIによる品質管理業務の革新
・文書管理・逸脱管理・CAPA管理での活用
・年次製品品質照査（APR/PQR）

第6部：導入時の考慮事項
・Human Oversight（人間の監督）
・バリデーションの考慮事項
・規制当局の動向・導入ロードマップ

第7部：なぜ生成AIセキュリティが重要なのか
・セキュリティインシデント事例 他社の失敗から学ぶ