ISO-13485改定の要点

【連載】ISO-13485:2016対応の要点

【第1回】ISO-13485改定の要点

2016年2月25日にISO-13485:2016が発行された。

ISO13485:2003からの認証の移行期間は、ISO 9001と同じで以下とおりである。

  • 移行期間は3年間。
    (改定後3年間は、旧版(ISO13485:2003)での認証が有効である。)
  • 改定後2年間は、旧版(ISO13485:2003)での認証が可能である。
  • 改定後2年たってから3年までの期間は新版(ISO 13485:2016)でのみ新たな認証が可能である。

従って、多くに医療機器企業はあと1年足らずの間にISO-13485:2016に移行しなければならない。

ISO-13485の改定に先んじて、2015年9月15日にISO-9001が改定された。しかしながら、ISO-13485は、ISO-9001:2015には追従せず、ISO-9001:2008に整合させている。
そのため、マネジメントシステムの共通のMSS(Management System Standard)要求仕様であるAnnex SLに従わず、従来の構造のままである。
ISO-9001が、今後Annex SLのMSSに従った改定を行った後に、ISO-9001に合わせる方向で、再度Annex SLに従う構造への改定を行うことになる。

ISO-13485:2016の改定の主な目的

ISO-13485改定の主な目的は、

  • QMS要求事項の明確化
  • 現状の各国規制との整合

である。
QMSはPDCAを基本としているが、これまでの内容ではPDCAにおける重要なタスクが完全ではなかった。そこでPDCAサイクルを回す上で欠けていた事項が補足された。つまり、品質システム(PDCA)における欠如個所を補っている。

また国際的な規制要求事項の共通化を図っている。ISO 14971、ISO 14644、ISO 14698、IEC 62366など、各種国際規格を参照している事もその一つである。

特に米国FDA QSRの要求事項にかなり近づいた。

ISO-13485:2016の要点

MDSAPとの関連

FDAなどは、MDSAP(Medical Device Single Audit Program:単一監査)を推進させようとしている。
そのため、MDSAPが実施しやすいように箇条が詳細化された。
また、旧版における多くの注記が本文(条文)に組み込まれた。これは、MDSAP実施に向けて各国毎の差異を最小限にした。

用語の定義の明確化

2003年版に比べて、2016年版では多くの用語の定義が記載されており充実した。また、それら定義の国際整合にも配慮している。例えば「医療機器」の定義などは、GHTFの定義の変更に合わせた。
ただし、ISO-9001:2008において、「リスク」の定義がISO-31000に整合させ、「諸目的に対する不確かさの影響(effect of uncertainty on objectives)」と変更になったのに対し、ISO-13485:2016は従来通りISO-14971の定義を引用し、「危害の発生確率 とその危害の重大さとの組合せ」としている。
これは、ISO-9001は、製造業のみならず、サービス業を含めあらゆる業種に対応する必要があるためである。しかしながら、ISO-13485やISO-14971においては、この「リスク」の定義は受け入れがたいものである。
用語の定義で特に変更が大きいものは「苦情」であろう。旧版においては、「顧客苦情」と題されていたが、改定版における「苦情」は、顧客のみならず、製造工程からの情報や付帯サービス(サービスマンのサービスレポート等)などの情報も含まれることになった。QSRの定義に近いものとなったわけである。
また、製造業者、ディストリビュータ、インポーター(輸入業者)の区別が明確化された。
特に「製造業者」は、GHTF/SG1/N055:2009 定義 5.1を参照し、明確に定義されている。
さらに改定版においては、医療機器の「ライフサイクル」全般を対象とすることとなり、GVP省令やMDRに代表される「市販後監視」についても定義がなされている。
「無菌バリアシステム」という新しい用語も定義された。
また「4.2.4 文書管理」において、「文書」には「文書」および「記録」が含まれることが明確化された。
「リスク」「ライフサイクル」「規制当局」といった用語は、条文中に頻回出現している。

明確な表現

ISO-13485に限らず、国際規格はインプリメントする組織毎に解釈が異ならないよう、明確でわかりやすく詳しい表現を心掛けている。
例えば、2016年版では、あえて「修正」と「是正」を併記することによって、それらが異なる概念であることを明確化している。
筆者もしばしばコンサルテーションにおいて遭遇するが、「修正(Correction)」と「是正(Corrective Action)」を混同しているケースが多々見られる。

順序の変更

読みやすく・理解しやすいように順序が多少変更になっている。
「供給者の管理」など、重要な事項を旧版よりは前の箇条に移動させている。また「7.5 製造およびサービスの提供」では、順序が変更になっている。

箇条の詳細化

指摘を出す際に、どの箇条に対するものかが明確になるように要求事項を細分化している。
例えば、マネジメントレビュへのインプットにおいて、「是正処置」と「予防処置」を箇条を分けて記載している。どちらに対する指摘かが明確になるようにするためである。

リスクベースドアプローチの採用

改定版では、いたるところに「リスクに応じて」という記載が見られる。つまり、品質保証にかける資源(ヒト、モノ、金、労力、時間等)は、当該製品のリスクに応じて適切であるように検討しなければならない。
リスクベースドアプローチは、2003年頃からFDAが提唱しているアプローチ(業界監視指導方針)である。
患者やユーザの安全性を守るためには、規制要件を強化しなければならない。しかしながら、規制要件を強化しすぎると企業においてコンプライアンスコストがかかってしまう。このコストは製品の価格に反映され、医療費が高くなってしまう。つまり、これは規制当局にとってジレンマである。患者のために規制強化したとしても、医療費の高騰を招き、高額所得者しか救われない医療になってしまうのである。
そこで、医療機器企業はリスクに応じた適切な対応が要求されることになったのである。

識別

「7.5.8 識別」において、旧版では「識別」と「製品状態の識別」に分かれていたものが「識別」に統一された。
筆者はコンサルテーションを実施する中で、「識別」と「製品状態の識別」の違いについて明確に説明することが困難であった。やはり、改定版では、統一されている。

時系列別の不適合製品

「8.3 不適合製品の管理」において、「引渡し前の不適合品における処置」と「引き渡し後に発見された不適合品のおける処置」に区分された。
また旧GQP省令と同様に「通知書」の発行が盛り込まれた。

是正処置・予防処置

CAPA(是正処置・予防処置)にタイムフレームが要求された。つまり、CAPAを起票してからクローズするまでの期限管理を要求している。

なお、ISO-9001:2015では予防処置の箇条が削除された。ISO-13485の次の改定でも削除されることになると思われる。

FDA QSRとの整合

QSRは1997年に発行されてから未だに一度も改定されていない。(ただし細かな修正はある。)つまり、FDAは20年後の国際規格を先取りしていたといえる。
これは筆者の分析結果であるが、FDAの要求によってISO-13485に盛り込まれたものは以下の事項があると思われる。

  • 文書化
    これまでは、明確化するといった表現が多くみられたが、多くは文書化という記述に訂正されている。
  • 医療機器ファイル
    4章において「4.2.3 医療機器ファイル」という箇条が追加された。医療機器ファイルは、QSRにおける「DMR(Device Master Record)」のことである。しかしながら、本邦における「製品標準書」に相当するため、特に大きなインパクトはないと思われる。
  • 設計・開発ファイル
    設計・開発ファイルは、QSRにおけるDHF(Design History File)に相当する。当該医療機器の設計に関するあらゆる記録(設計変更を含む)を時系列で参照しやすくファイリングしておかなければならない。
  • 設計移管
    2003年版では、設計・開発計画書のコンテンツとして記載があったのみであるが、「7.3.8 設計・開発の移管」として独立した箇条になった。なお、設計移管と量産移行を混同しているケースを多く見かけるが、これは間違いであるので注意すること。
  • 統計的手法
    品質に対する傾向分析などは、統計的手法によらなければならない。例えば、マネジメントレビュは1時間から2時間程度で実施されるのがもっぱらである。そんな短時間に、多くの資料をインプットとして見せられても経営者としては適正に判断し、指示事項を出すことが困難である。
    また、プロセスバリデーションにおけるバッチサイズやスケールの妥当性についても統計的手法により証明することが求められている。
    さらに「サービスレポート」も統計的手法の対象となった。
  • 設計管理の充実
    「設計管理」に対する要求事項が充実した。医療機器の安全性は何といっても適切な設計管理により担保される。
    改定版では、設計管理に関して「文書化」が要求された。(従前は「明確化」)
    また「設計・開発計画書」の遵守が求められた。「設計・開発計画書」は、自社のQMSに従って作成され、適宜更新しなければならない。また設計業務においては、「設計・開発計画書」に定義したとおりのリソースで、定義したとおりの成果物を作成しなければならない。万が一、「設計・開発計画書」と作成した成果物などの間に不整合があった場合には、指摘に及ぶことがあるだろう。
    さらに、設計管理において「トレーサビリティ」や「力量」が追記された。
    医療機器を設計する者は、相応の力量がなければならない。
    スタッフの力量表を作成し、各部署の力量マップを作成しておくこと。
    設計へのインプットに「ユーザビリティ」が追加された。これは、医療機器の使い勝手が悪いために事故につながる恐れがあるためである。従来のリスク分析に加えて、ユーザビリティにも配慮が必要である。
    医療機器のネットワーク接続を想定して「インターフェース」が加えられた。昨今の医療機器は、単独で動作するもののみではなく、院内のLANなどに接続する場合も増えてきた。この場合、バリデーションを実施することは当然として、コンピュータウィルスやサイバーテロにも対応しなければならない。
    設計検証、設計バリデーションにおいて、必要に応じて「統計的手法」が要求されている。
    バリデーションの記録(「結果」)のみではなくバリデーション報告書(「結論」)の作成が求められた。これまでは、「記録書兼報告書」などという成果物も存在したが、今後は記録書と報告書は明確に区別して作成しなければならない。
    「設計・開発の移管」が要求された。
    また「設計変更」が充実した。照査な要求事項が記載されており、文書及び記録の保存が求められている。
    「設計・開発ファイル」(FDAのDHFに相当)の作成が要求された。
  • ソフトウェアバリデーション
    これまでは、製造設備におけるソフトウェアバリデーションのみ要求されてきたが、改定版では品質システムを管理するコンピュータシステムなどへ拡張された。
    品質システムを管理するコンピュータには、イベント管理システム(例:MasterControl、Trackwise等)やドキュメント管理システム等が含まれる。
    ただし、あくまでもリスクベースで対応するべきであり、過剰なコンプライアンスコストはかけるべきではない。
  • 苦情処理の詳細化
    旧版において、苦情処理が「製品受領者からの意見」と「改善」に含まれていたが、「8.2.2 苦情処理」において箇条を独立させた。
    また、苦情処理に関する要求事項が詳細化された。なお、QSRにおいても苦情ファイルについて詳細な要求をしている。
    「修正」と「是正処置」を明確に区別した。
    サービスレポートからの情報も苦情処理の対象となった。
    2003年版では、全ての苦情に対して原則「CAPA」を要求していたが、この条文は削除された。
    また全ての苦情について原則「調査の実施」を要求している。​

その他の新規要求事項

「4.2.5 記録の管理」において「健康機密情報の保護」が追加された。例えば、修理や返却された医療機器のメモリなどに患者の健康状態(検査結果など)に関するデータが記録されている場合などに配慮しなければならない。
「 6.4.2 汚染管理」が「作業環境」から独立した箇条となった。
「7.4.2 購買情報」において、契約書に「変更の事前通知」が要求された。昨今、サプライチェーンが国際化することによって、中国をはじめASEAN諸国から原材料を購買するケースが増えてきた。その際、コスト削減のため、事前予告なく(黙って)原材料を変更したり、製造方法を変更する供給業者が存在し、結果的に最終機器に欠陥が生じ、患者に危害を加えるリスクが高まった。そこで、該当する場合、契約書には「変更の事前通知」を明記しなければならないことになった。これもFDAからの強い要請があったものと思われる。
「顧客とのコミュニケーション」に加えて、「規制当局とのコミュニケーション」が追加された。
GDP(Good Distribution Practice:輸送のバリデーション)が含まれた。医療機器は、適切に製造したとしても、包材の不良や輸送時の振動などにより不具合を起こすことがある。したがって、輸送時における種々の配慮も求められる。

イーコンプライアンスではISO-13485:2016対応QMSひな形を販売しております。
詳しくはこちらをご覧ください。

関連記事一覧