内容
医療機器におけるリスクマネジメント
1. はじめに
2. 品質が良い医療機器とは
3. ISO-13485の認証とFDA査察の違い
4. 放射線治療装置の死亡事故
5. 誤使用
5.1 合理的に予見可能な誤使用
5.2 誤使用の例
6. ISO-14971
6.1 ISO-14971とは
6.2 ISO-14971の適用範囲
6.3 ISO-14971の経緯
6.4 ISO-14971の構成
6.5 IEC-60601-1とISO-14971
7. EN ISO-14971
7.1.1 “negligible risk”(無視可能なリスク)の扱い
7.1.2 リスクの受容可能性についての医療機器企業の自由裁量権
7.1.3 ALARPではなくAFAPによるリスク低減
7.1.4 あらゆるリスクに対するリスク/便益分析の適用
7.1.5 リスクコントロール手段についての裁量
7.1.6 初期リスクコントロール手段についての裁量
7.1.7 残存リスクについてのユーザへの情報提供
8. リスクマネジメント手順
8.1 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化(Step-1)
8.2 ハザードの特定(Step-2)
8.3 リスクの推定(Step-3)
8.4 リスクの評価(Step-4)
8.5 リスクコントロール
8.5.1 リスクコントロール手段の明確化(Step-5)
8.5.2 IEC-62304によるソフトウェアに関する分析(Step-6)
8.5.3 リスクコントロール手段の実施と文書化(Step-7)
8.6 残留リスク評価(Step-8)
8.7 リスク/便益分析(Step-9)
8.8 新たなハザードの発生確認(Step-10)
8.9 リスク評価の完了(Step-11)
8.10 残留リスクの全体的評価(Step-12)
8.11 製造中および製造後の情報によるリスクマネジメントの見直し手順
9. 体外診断用医療機器(IVD)のリスクマネジメントモデル
1. はじめに
医療機器には何らかのリスク(危害の潜在的な源)が存在している。何らかのリスクを抱えた状態で市場へ出荷され、事故が起こる前に予防策として、あらゆるリスクを検出し、それによって患者やユーザに危害を及ぼさないようにするのが、医療機器におけるリスクマネジメントの主目的である。
製品実現の中でリスクマネジメント活動を行い、特に製品の設計・開発にあたっては、リスクマネジメントから得られた情報を加えることが必要である。つまり、市場からの製品(類似製品を含む)におけるフィードバック情報も重要な要素となる。
この活動はPDCAを基本としている。必ず市場からのサーベイ、顧客からの苦情、そういうものをフィードバックしてリスク分析に戻さないといけないのである。ここでいうリスクとは、「患者やユーザに対する健康被害」のことである。「医療機器に欠陥が潜んでしまう」や「製造担当者がけがをする」といった事象は、リスクマネジメントの対象ではないことに注意が必要である。
1つの医療機器の設計の全ライフサイクルを通じて、医療機器企業がリスクコントロールを最大限実施したことを証明するために、リスクマネジメントにおける活動は、リスクマネジメントファイルにおいて、完全に文書化しなければならない。
適切なリスクマネジメント活動は、新しい医療機器の開発、生産、販売等を支えることにより、重要な価値をもたらす。
リスクマネジメント活動により、製品開発スケジュールへの影響を最小限に留めながら、機能的安全性や使い勝手を向上させるための変更や改良の特定や実施が可能になる。
また、製品を市場に投入するまでの時間を短縮して、一層の競争優位性をもたらす。
2. 品質が良い医療機器とは
品質が良いということは、どんな状態であろうか。
医療機器においては、ユーザの要求事項と完成した医療機器の仕様が完全に適合している状態が、品質が良いといえる。
使い勝手が良いとか、見てくれがいいとか、デザイン性がいいとか、そういうことは無関係なのである。
医療機器は、意図される使用目的(intended use)に対して機器が完全に適合している状態、これが、品質が良い医療機器なのである。
要求事項と完成医療機器が完全に整合していることを確認して保証することを「バリデーション」と呼ぶ。日本語では「妥当性の確認」と訳されている。
ISO-9000による定義には、「バリデーションとは、特定の意図した用途またはアプリケーションに関する要求が満たされていることを、客観的な証拠の提示により確認することである。」と記載がる。
また、QSRには、「バリデーションとは、特定の意図する用途のための特有の要求事項が恒常的に満たされ得るという客観的証拠の検討と規格による確認を意味する。」と記載されている。
バリデーションは、必ずユーザ環境またはユーザ環境を模擬した環境で実施しなければならない。医療機器企業側のみで実施すると、実際の使用状況と異なり、想定外の事故が起きてしまう可能性があるのである。
ところが、医療機器には1つ問題がある。そもそも要求事項が正しいとは限らないのである。例えば、医師などから、新規医療機器に対する要求が得られたとしよう。その要求に従い、設計し、製造したとしよう。
しかしながら、実際に使用してみた場合、実は当初想定したような使用目的にそぐわず、使いづらいなどの問題がしばしば発生する。そのため、何らかのリスクが潜んでしまったり、時には事故が発生してしまうのである。
品質には4つの種類がある。
1. 企画の品質
2. 設計の品質
3. 製造の品質
4. サービスの品質
である。
それぞれ、品質の4つの種類における要求事項は、次の通りである。
企画の品質においては、製品で実現しようとしている特性に対する顧客の要求である。
設計の品質においては、企画の段階で検討された特性の水準や品質仕様である。
製造の品質においては、図面・仕様書などの設計文書である。
サービスの品質においては、調整、据え付け、消耗品の補給、不良品などへの対応に対する顧客の要求である。
これら要求事項を満たした場合、当該医療機器および付帯サービスは、品質が良いといえるのである。
3. ISO-13485の認証とFDA査察の違い
ISO-13485は、「医療機器の品質マネジメントシステム-規制目的のための要求事項」である。
ISO-9001は、製造業からサービス業まであらゆる業種に対応可能な反面、医療機器に適用しようとす
ると、その安全性を確保しきれないという問題があった。そこで制定されたのが、ISO-13485である。
ISO-9001をベースに、医療機器の安全性や品質を確保するのに必要な要求事項が追加された。
ISOに参加する各国は、国民の健康維持・向上のため、医療機器を厳しく規制している。ISO-13485が
「規制目的のための要求事項」とされているのは、このためである。
ISO-13485の目的は、世界中の医療機器法令の整合化を促進することである。つまり、ISO-9000は民
間の規格であるのに対して、ISO-13485はもはや規制要件なのである。
日本、米国、欧州など、ISOに参加する各国の当局がレビュを行っている。
ところで、ISO-13485の認証を受けていても、FDA査察で指摘されることがしばしばある。
ISO-13485の認証は、第三者認証機関(NB:Notified Body)が実施する。つまり民間業者がビジネス
として実施するのである。クライアントとの付き合いもあり、必然的に厳しい指摘には及ばないことや
多くの指摘を出さないこともしばしばである。
しかしながら、FDAは米国民を保護するために、日本までやってきて査察を行うのであるから、リス
クを徹底的に調査し、指摘を出すのである。査察官自身も国民への説明責任があり、また事故などが発生した場合には、査察した者の責任が問われることもあり得るのである。
4. 放射線治療装置の死亡事故
1985年から1987年にかけて、米国で複数の医療施設でTherac-25という放射線治療装置が誤作動し、過大な放射線を浴びた患者に死傷者が出た。
Therac-25という放射線治療装置は、旧モデルのTherac-20の廉価版であった。そのコストの下げ方は、電気機械式の安全保護装置を、「安全はソフトウェアでも確立できる」というコンセプトのもと、経済性を優先させるためにハードウェアによる安全装置を外した。そのためハードウェアによる安全装置のために抑えられていたソフトウェアの不具合が発現した。
このTheracシリーズのソフトウェアは、正式な教育を受けていない、いわばずぶの素人がたった1人で設計したものであった。そのためバグが非常にわかりにくい構成になっており、特殊な状況において、ソフトウェアの処理スピードがかなり遅くなるという欠陥が潜在していた。操作コマンドを素早く打ち込んだ場合、Therac-25ではX線用の金属製ターゲットをきちんと配置しないまま、高エネルギーの放射線を照射してしまうという欠陥が潜んでいた。(図1参照)
図1 Therac-25の不具合
問題は、医療機器企業でのテストは、テストスクリプトに従ってテストデータを入力し、確認をしながらステップを踏む。しかしながら、実際の医療現場では、医師がいわゆるブラインドタッチを行い、素早くデータを打ち込むことが多い。そのため、高エネルギーの放射線を照射してしまったために、被爆した患者が数日後に亡くなったということであった。Therac-20では、ハードウェアによる安全装置が存在したため、当該事故は発生せず、ソフトウェアの問題は露見しなかったのである。
当初は、調査したFDAも当該医療機器企業も、ハードウェアの故障と考えていた。そのため、なぜ過度なエネルギー照射が起こるのか原因を突き止めるのに長い時間がかかり、付け焼き刃の対策で装置の使用を止めなかったために、Therac-25による犠牲者は6名にまで拡大してしまった。
この事故を調査した現マサチューセッツ工科大学のNancy Leveson教授は、事故調査を終えて次のような教訓を書き残している。
・ソフトウェアはどんなに慎重に作っても満足できるほどに完璧にはならないため、ソフトウェアがどんな動きをしたときでも、人命に危険が及ばないようにシステムを設計する必要がある(フェールセーフ、独立した安全装置の設置など)
・ソフトウェアの信頼性をできるだけ高めるのは悪いことではないが、それでソフトウェアが安全になるわけではない。プログラマは要求を満たすようにコードを書くが、要求が正しいとは限らない。事故のほとんどは、プログラミングのエラーではなく、要求が間違っていたり、不完全であったりしたために起きている
・われわれの目標は、だれもがこの経験を生かせるようにすることであり、装置のメーカーや他の人を批判することではない。間違いは、このメーカーにだけ起きたのではなく、残念ながら、安全が最優先されるべきその他のシステムにも、きわめて日常的に起きている
・いくつかの出来事が複雑に絡み合って起きた事故が、1つの原因にされることが多すぎる。ほとんどの事故は、システム事故、つまり、さまざまな構成部分や機能が複雑に作用しあって起きるものだ。事故の原因を1つに特定することは、大きな間違いだ。
Nancy Leveson 教授が語ったTherac-25の事故調査から導き出された組込みソフトウェアの安全に関する教訓は、20年以上経過した現在でも生き続けている。
というよりも、組込みソフトウェアの大規模・複雑化とCPUの統合化により、より危険性が加速されてきおり、組込みソフトエンジニアがソフトウェア開発を行っている際に常に考えていなければいけない重要な教訓となっている。
この事故を教訓に、FDAは1987年に「General Principles of Software Validation(ソフトウェアバリデーションの原則)」と呼ばれるガイドラインを発行した。
ソフトウェアのバリテーションは、医療機器メーカーだけではなく、ユーザの環境またはユーザ環境を模擬した環境で、ユーザが参画して実施することが義務付けられたのである。
5. 誤使用
5.1 合理的に予見可能な誤使用
市場出荷された医療機器自体になんら欠陥がないとしよう。ところが、使う側であるユーザが操作を間違
ってしまうということがあるのである。ヒューマンエラー、誤使用、不注意というものに対しても、必ず発
生するので生産者側では気をつけなくてはならない。
医療機器の場合においても、こういった誤使用という問題がある。医療機器業者が想定した使用法が記載されている取扱説明書の通りに使用しないというのが誤使用である。これはヒューマンエラーである。
いくら医療機器企業側が気をつけていても、ユーザ側が間違ってしまうということも、リスクとして捉えていないといけないのである。
ISO/IEC Guide 51では、設計者等が想定した使用法(intended use)のみならず、「合理的に予見可能な誤使用」(reasonably foreseeable misuse)も含んだ範囲でリスクを評価し、受け入れ可能なレベルに達するまで、リスク低減を行う反復プロセスを図示している。(図2参照)
「合理的に予見可能な誤使用」をリスクアセスメントの範囲とすることを明記したことが極めて重要である。
図2.リスクアセスメントの範囲
ただし、「非常識な誤使用」に対しては、リスクアセスメントの範囲には含めなくても良い。
しかしながら、消費者側・ユーザ側が許容可能なリスクというのは、社会通念の変化によって変化する。
例えば、ある少女が猫をリンスした後、寒いだろうから早く乾かせてあげるために、電子レンジに入れてしまったということがある。生産者側はそんなことをするとは、思ってもみなかったのである。猫を電子レンジで暖めてあげるというのは、常識的な行為だろうか、そこまで生産者は考えて製品をつくらないといけないのだろうかということである。
ひょっとすると、時代が変われば、さらに予見できないリスクがもっと露見するのかもしれない。社会通念で許容可能なリスクというのは変化するのである。
もう1つの事例として、より洗浄能力を高めようとして、洗濯機に50度のお湯を入れた主婦がいるのである。洗濯槽が曲がってしまって動かなくなった。もちろん設計者は50度のお湯を入れるということは想定していなかったのである。あまった風呂の湯を再利用することは想定していたが、風呂の湯は50度にはならないので、恐らく40数度の設計だったのである。それ以降は設計を50度以上の熱湯でも耐えられるような部材に変えたという事例がある。
5.2 誤使用の例
医療機器以外での誤使用、不注意に分類される事故例としては、ガスコンロの消し忘れで火がついてしまった、少ない油で天ぷらを揚げて火災になった、換気扇を回さずにガス湯沸かし器を使って一酸化炭素中毒になってしまったなどがあり得る。
リビングや寝室では、石油ストーブに洗濯物が落下して火災が発生した、付近の可燃物が発火した。湯たんぽでは低温やけどが発生した、電池を逆に入れてしまって破裂した、間違ってボタン電池を飲み込んでしまったなどが実際に起きている。
このようなことを含め、生産者はあらたな誤使用というリスクを発見した場合、そのリスクを回避するような設計に変更にしなければならないのである。
または、誤使用を未然に防止するよう、ラベルなどに注意書きを記載しておかなければならない。例えば、レーザーポインターには、「直接、目でのぞかないでください。」と注意書きが貼ってある。または携帯用のカイロでは「肌に直接貼らないで下さい。低温やけどの恐れがあります。」と記載がある。
それでも、人は必ず間違いを起こすのである。
1980年の日航ジャンボ機の墜落事故は、ボーイング社の修理ミスだといわれている。医療事故では輸血するときに血液型を間違えたとか、患者を取り違えたとか、薬品を間違った、手術のときに左右の肺を間違えた、そういったこともしばしば発生している。
株の大量誤発注という事件もあった。61万株を1株1円で売りに出してしまった、数量と金額を逆に間違えて入力してしまったのが原因である。その際、東証のコンピュータには、発注取り消しという機能が設計されておらず、被害が拡大した。
6. ISO-14971
6.1 ISO-14971とは
ISO-14971「医療機器 – リスクマネジメントの医療機器への適用」は、医療機器企業が体外診断用医療機器を含む医療機器に関連するハザードを特定し、リスクの推定および評価を行い、これらのリスクをコントロールし、そのコントロールの有効性を監視する手順について規定しているというものである。
ISO-14971は、リスクマネジメントの原則と実践について示したものである。
ISO-14971は、医療機器に関する幾つかの主要な規格において参照されている。例えば、ISO-13485(医療機器の品質マネジメントシステム)、IEC 60601-1(電気安全性)、IEC/EN 62366(医療機器の使い易さ)、ISO10993(生物学的評価)、IEC62304(医療機器のソフトウェア)などである。
ISO-14971で示されたリスクマネジメントのプロセスは、次のような内容となっている。
1)医療機器に付随し、患者または医療従事者をリスクに曝す可能性のある危険もしくは危険な状況を特定する。
2)そうしたリスクが発生する可能性を推定し、それによってもたらされる結果の程度を評価する。
3)医療機器の中に、または生産工程に積極的な予防措置を構築・実施し、リスクを制御する。
4)プロセスを定期的に審査および監視し、リスクマネジメントコントロールとリスクマネジメントプ
ロセスの効果を評価する。
6.2 ISO-14971の適用範囲
ISO-14971は、組織の営業活動から設計開発、製品製造、検査測定、製品納入、付帯サービスおよび市販後の調査に至るすべてのライフサイクル活動に適用される。
しかしながら、大事なのは、医療機器の「設計・開発」プロセスにおいて、リスクマネジメント活動の結果を取り入れて活動しなければならないということである。医療機器は医薬品と異なり、製造工程よりはむしろ設計工程でリスクマネジメントを主に実施しなければならない。
設計・開発が適用除外される医療機器であっても、製品実現全体をとおしてリスクマネジメントのための文書化された要求事項を確立することが要求されている。
リスクマネジメントの活動対象範囲は、組織が製造する製品すべてが対象となる。少量多品種であってもその一部を適用除外することは出来ない。また、付属品等も適用対象になる。
ただしISO-14971は、臨床的判断には適用しない。また、受容可能なリスクレベルを規定していない。
6.3 ISO-14971の経緯
ISO-14971の経緯を紹介する。(図3.参照)
図3.ISO-14971の経緯
EUでは1993年にMedical Devices Directive(MDD)93/42/EECが施行された。これにより機器のリスクに応じたクラス分類により管理することとなった。MDDにおける危険回避は、すべての機器に対して基本要件の適合を義務づけることにより行われている。そのため、リスク分析が採用され、preEN1441が作成された。その後、1997年にEN 1441が正式にMDDとして発行された。
ちなみにENというのはEuropean Normの略である。Norm(ノーム)というのはロシア語のノルマのことである。ノルマというのは、達成しないといけない基準のことをいう。
1998年に、ISO/IECは共同作業として、ISO-14971-1「第1部・リスク分析の適用」を発行した。この内容はEN1441同様、リスク分析を主にしたもので、以下、第2部、第3部を発行させる予定であったといわれている。
2000年12月、ISO-14971「医療機器へのリスクマネジメントの適用」を発行した。この規格にはISO-
14971-1の内容が含まれている。
2003年3月、難解な記述の多いISO-14971のガイダンスが必要となり「AMENDMENT1・要求事項の理論的根拠」を発行した。
2007年には、ISO-14971 Ed.2が発行され、現在のところ最新である。
日本ではISO-14971:2007年版が、2012年にJIS T 14971「医療機器-リスクマネジメントの医療機器への適用Ed2」として発行されている。
ISO-14971 Ed.2は、メンテナンス時機が到来しており、GUIDE 51、73による GUIDE 63に対する変更の
影響が懸念される。
6.4 ISO-14971の構成
ISO-14971の目次を図4に記載する。
図4.ISO-14971の目次
6.5 IEC-60601-1とISO-14971
IEC-60601-1には、「ISO-14971に適合するリスクマネジメントプロセスを実施する。」という要求事項がある。また、要求事項の適合性の確認について、「適合性は、リスクマネジメントファイルを調査して確認する」と記載がある。
しかし、IEC-60601-1の要求事項に適合していれば、その要求事項についてはリスクマネジメントを実施しなくても良いという「基礎安全」の考え方を取り入れている。
つまり、機器全体はリスクマネジメントISO-14971の管理下にあるが、その中でIEC60601-1の要求事項による部分があるということである。
IEC-60601-1の要求事項では、副通則であるEMC(IEC60601-1-2)、alarm(IEC60601-1-8)、usability
(IEC60601-1-6)も含まれている。
7. EN ISO-14971
2012年7月31日、EN ISO-14971: 2009は、EN ISO-14971:2012に置き換わり、2009年版は2012年8月30
日の時点で廃止された。
EU地域では、EN ISO-14971:2012は、2013年1月より強制になった。EU圏へ輸出する製品への影響を評価する必要がある。各国・地域の対応は、その国・地域の事情もあって独自路線をとるのはいたしかたないところである。
EN ISO-14971:2012は、ISO-14971:2007の規定についての相違はないが、informative(参考)である附属書Zs(Za、Zb、Zc)が変更されている。3つのEU医療機器指令(MDD:Medical Device Directive)の基本要件(ER:Essential Requirements)の一部を加えたものになっている。
EN ISO-14971:2012は、以下の7つの点において、ISO-14971:2007と異なっている。
1) “negligible risk”(無視可能なリスク)の扱い
2)リスクの受容可能性についての医療機器企業の自由裁量権
3)ALARP(as low as reasonably possible:合理的に実行可能まで低く)ではなく、AFAP(as far as
possible:可能な限り)のリスク低減
4)あらゆるリスクに対するRisk/Benefit Analysis(リスク/便益分析)の適用
5)リスクコントロール手段についての裁量
6)初期リスクコントロール手段についての裁量
7)残存リスクについてのユーザへの情報提供
この7つの点で、EN ISO-14971:2012は、ISO-14971に比べて厳しくなっている。
7.1.1 “negligible risk”(無視可能なリスク)の扱い
“negligible risk”(無視可能なリスク)の扱いとして、ISO-14971の定義では“negligible risk”(無視可能なリスク)を放棄することができる場合があると記載されている。
EN ISO-14971では、全てのリスクについて、リスクマネジメントを実施しなければならないと記載された。
7.1.2 リスクの受容可能性についての医療機器企業の自由裁量権
ISO-14971では、リスクの受容可能性の基準は医療機器企業が決定することになっている。その上で、受容不可能なリスクに対してのみ、それらを統合した全体のリスク/便益分析を行うこととしている。
EN ISO-14971では、医療機器企業がリスクの受容可能性を判定するのではなく、全てのリスクは可能な限り低減されなければならないとしている。
EN ISO-14971では、もはや受容可能性という概念はないに等しく、全てのリスクは他のリスクと組み合わせてリスク/便益分析を実施しなければならない。
7.1.3 ALARPではなくAFAPによるリスク低減
ALARP(as low as reasonably possible:合理的に実行可能まで低く)ではなく、AFAP(as far as possible:可能な限り)によるリスク低減を要求している。
ISO-14971では、リスクは「合理的に実行可能な程度まで(ALARP)」低減することと記載されてい
るが、これは経済性を考慮した要求である。あまりにも規制を厳しくすると、コンプライアンスコストが上昇し、製品の価格に上乗せされ、結果的には患者負担になってしまう。
EN ISO-14971では、「可能な限り(AFAP)」低減することを要求しているのである。
リスクを徹底的に低減するということは、開発コストがかかってしまい、経済性を無視しているということである。
7.1.4 あらゆるリスクに対するリスク/便益分析の適用
ISO-14971では、受容可能性を超えるリスクに対して、リスク/便益分析を要求している。
EN ISO-14971では、個々のリスクおよびすべての残存リスクに対するリスク/便益分析を要求してい
る。
7.1.5 リスクコントロール手段についての裁量
ISO-14971では、下記3つのオプションから1つを選んでリスクコントロールを実施することを要求
している。
1) 設計による固有の安全性の確保
2) 機器そのものまたは製造プロセスによる保護
3) 安全のための周知(取扱説明書、ラベル)
上記は、優先度順である。
EN ISO-14971では、安全性の観点から、最先端のリスクコントロール手法を検討することを要求し
ている。リスクコントロール手段を組み合せることによる安全性の確保を要求している。そして上記3つのオプションを組み合せることを要求しているのである。つまり1つでは駄目で、最低2つ組み合せな
ければならない。
7.1.6 初期リスクコントロール手段についての裁量
ISO-14971では、設計による固有の安全性を要求している。
これに対し、EN ISO-14971では、可能な限りリスクを低減させることを要求している。設計および材
料・組立による安全性を要求しており、範囲が広い。
7.1.7 残存リスクについてのユーザへの情報提供
ISO-14971では、残存リスクについてのユーザへの情報提供は、リスクコントロール手段の1つであ
るとしている。取扱説明書に記載するというのも、リスクコントロールの1つなのである。
EN ISO-14971では、残存リスクについてのユーザへの情報提供はリスク低減手段ではないとしてい
る。
8. リスクマネジメント手順
本章では、設計開発のインプットとなるリスク分析、リスクを低減するためのリスクコントロール、リス
クの受容可能性の決定とリスク/便益分析、また製造中および製造後の情報によるリスクマネジメントの見直
しといった、医療機器のリスクマネジメント手順について解説をする。
リスクマネジメント手順は、以下のステップにより構成される。
1) 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化
2) ハザードの特定
3) リスクの推定
4) リスクの評価
5) リスクコントロール手段の明確化
6) IEC-62304によるソフトウェアに関する分析
7) リスクコントロール手段の実施と文書化
8) 残留リスクの評価
9) リスク/便益分析
10) 新たなハザードの発生
11) リスク評価の完了
12) 全体的評価
上記のステップを、リスクマネジメントワークシート(図5参照)を用いて実施し、文書化する。
図5.リスクマネジメントワークシート
8.1 意図する使用および医療機器の安全に関する特質/医療機器の使用に関する特性の明確化(Step-1)
このステップでは、対象となる医療機器について、意図する使用および合理的に予見できる誤使用を明確化する。
必要な場合には、安全に影響する定性的および定量的特性または必要な場合には限界を明確にする。
ユーザビリティに関係するハザード抽出のため、
1) 用途仕様
2) タスクに関する要求事項
3) 使用状況
4) 同種の医療機器からの情報
5) 仮の使用シナリオ
6) 考えられる使用ミス
7) 誤ったメンタルモデル
8) ユーザインタフェース等のレビュを行う。
8.2 ハザードの特定(Step-2)
このステップでは、当該医療機器に対する既知のハザードおよび予見できるハザードを特定する。(図6参照)
図6.医療機器におけるハザードの例
また、対象となる医療機器について、意図する使用および合理的に予見できる誤使用を明確化する。
必要な場合には、安全に影響する定性的および定量的特性、または必要な場合には限界を明確にする。
特定されたハザードに対して、発生順序または組合せを考慮して、「危険状態」および「危害」の内容を明確にする。例えば、機器内で発火して熱を持っている状態が「危険状態」である。これに人が接触した場合、火傷という「危害」つまりリスクが発生するのである。
特定した各ハザードに対して、正常、故障、誤使用といった状態を識別する。
たとえ機器が正常に動作していたとしても、ヒトに対して有害な事象が発生する場合もあり得る。また、機器が故障し、危害につながる恐れもある。さらに、機器は正常に動作しているが、操作ミス、装着ミス、データ入力ミスなどのヒュー マンエラーにより、危害が発生する場合もある。
8.3 リスクの推定(Step-3)
Step-2で特定した「危害」つまりリスクに対して、「発生確率」および「重大性」を推定する。
いずれも定量的な表現か、または定性的な表現が用いられる。(図7参照)
図7.発生確率と重大性
「発生確率」は、類似製品における実績データや、供給者からの情報、耐久性試験などから求める。
「発生確率」の定量的な表現としては、10-xといった数値がしばしば用いられる。またはppm(parts per million:百万分率)
と呼ばれる単位で表すこともある。10-6の場合は1ppmであり、10-7の場合は0.1ppmである。
「発生確率」の定性的な表現としては、「頻発する」、「しばしば発生する」、「時々発生する」、「起こりそうにない」、「まず起こり得ない」、「考えられない」などがある。
「重大性」は、「死亡」、「重症・入院加療」、「通院加療」、「軽傷」、「無傷」といった定量的な表現と、「致命的」、「重大」、「中程度」、「軽微」、「なし」といった定性的な表現がある。
8.4 リスクの評価(Step-4)
Step-3で求めた発生確率と重大性から、リスクレベルを算出する。
リスクレベル=重大性×発生確率であるので、図7に従って、A3、A2、A1、B3、B2、B1、Cのいずれかになる。
リスクマネジメントワークシートに記載する際には、A、B、Cのいずれかで良い。
8.5 リスクコントロール
Step-4で求めたリスクレベルにより、リスクコントロールの要・不要(リスクの許容可能性)を判定する。
リスクレベルがB以上の危険状態については、以下を実施する。
8.5.1 リスクコントロール手段の明確化(Step-5)
リスクレベルの低減のための手段(リスクコントロール手段)を明確化する。
リスクコントロール手段としては、次の優先順位に従い、それらの1つ以上を使用すること。
1) 設計による本質的な安全を図る。
ハードウェア設計やソフトウェア設計を組合せて、リスクの発生確率を低減したり、リスクの重大性を低減する。
2) 機器自体または製造工程における防護手段を設ける。
3) 安全に関する情報を提供(開示)する。
添付書類、取扱説明書などの付属文書または製造作業手順書等へ記載する対策を採る。
リスクコントロール手段には、ハードウェアの設計によるもの、ソフトウェアの設計によるもの、保護(防護手段)によるもの、取扱説明書やラベルなど情報によるものに分類され、それらの組合せによって、リスクを低減するのである。
ME機器の設計においては、メカ部門、エレキ部門、ソフトウェア部門がコミュニケーションを図って、リスクコントロールを設計することが重要である。
8.5.2 IEC-62304によるソフトウェアに関する分析(Step-6)
ソフトウェアを搭載した医療機器(単体プログラムを含む)の場合、IEC-62304の要求に従って、ソフトウェアの設計を実施しなければならない。
一般にソフトウェアの設計では、ソフトウェア要求仕様書(Software Requirements Specifications:SRS)に従って、アーキテクチャ設計書を作成する。
アーキテクチャ設計書は、ソフトウェア要求仕様書に対応するソフトウェアの機能を記述し、さらに各機能をソフトウェアアイテムに分割する。ソフトウェアアーキテクチャ設計の終了は、開発における最も初期のポイントである。ソフトウェアアイテムの明確化により、安全性との関連が特定可能になる。
IEC-62304では、アーキテクチャ設計において分割されたソフトウェアアイテム毎に、ソフトウェアアイテムが寄与因子であり得るハザードから生じる、患者、オペレータまたはその他の人々に対する考えられる影響により、ソフトウェア安全クラスを割り当てることを要求している。
ソフトウェア安全クラスは、危害の程度に基づいて次のいずれかに分類する。
クラスA:傷害が発生しない
クラスB:深刻な傷害が発生しない
クラスC:死亡または深刻な傷害が発生するおそれがある
ただし、ハザードから生じる危険が、ハードウェアのリスクコントロールにより受容可能なレベルに低減できるのであれば、それらを考慮に入れても良いとしている。
8.5.3 リスクコントロール手段の実施と文書化(Step-7)
選択したリスクコントロール手段を実施する。つまり、ハードウェアやソフトウェアによる安全装置の設計や、取扱説明書やラベルなどに使用女王の注意などを記載する等である。
実施したリスクコントロール手段は、それぞれの設計書等に文書化すること。
また、リスクコントロール手段が適切で有効であることを検証した記録を作成すること。
8.6 残留リスク評価(Step-8)
リスクコントロール実施後に残留するリスクレベルを評価する。リスクコントロール実施により減少した発生確率および重大性を求め、リスクレベルを算出する。
リスクレベル=重大性×発生確率
リスククラスが、図7においてCになっていれば、受容可能と判断する。
受容可能であると判断した残留リスクについては、どの情報を提供(開示)するか、かつ、どの附属文書に記載するかを決定すること。
リスクレベルが受容可能なまで低減されていない場合は、Step-5に戻り、リスクコントロール手段を明確化すること。
特定した全ての危険状態からのリスクが考慮されていること(リスクコントロールの完全性)を明確にすること。
8.7 リスク/便益分析(Step-9)
Step-8において、受容可能でないと判断し、かつ、それ以上のリスクコントロールの実施が現実的でない場合、データおよび文献を収集し、かつ、見直した上で、意図する使用の医学的効用が残留リスクを上回るかどうか判断する。
重大性が「重大」、「中程度」「軽微」と判定されたリスクであっても、リスク/便益分析を実施すること。
ただし、重大性が「致命的」なリスクが残留した場合は、その製品の開発を打ち切らなければならない。
8.8 新たなハザードの発生確認(Step-10)
リスクコントロール手段の実施によって、新たなハザードが発生し、影響が出ていないかを調査する。以
下を考慮すること。
1) 新しいハザードまたは危険状態が発生していないか
2) 以前に危険状態に対して推定したリスクレベルが、リスクコントロール手段の実施によって影響を受けていないか
新しいリスクまたは増加したリスクがあれば、Step-3に戻ってリスクマネジメント活動を再度実施すること。
8.9 リスク評価の完了(Step-11)
上記のすべてのステップを踏み、リスクマネジメント活動が適切かつ完全に文書化されていることを確認した上で、個々の危険状態に対する一連のリスク評価活動が終了する。
完了した日付を、リスクマネジメントワークシートに記載すること。
8.10 残留リスクの全体的評価(Step-12)
すべての危険状態に対して、残留リスクの全体的な評価を行う。結論としては、当該機器における残留リスクが受容できるか、受容できないかのいずれかとなる。
ここで、重大性が「致命的」なリスクがあってはならない。
また、残留リスクのリスククラスがB以上のものに対して、医学的効用がリスクを上回るものであることの判定が、根拠をもって実施されていなければならない。
8.11 製造中および製造後の情報によるリスクマネジメントの見直し手順
製造中および製造後に「新たな問題」が発生していないかを調査する。新たな問題が発生している場合は、リスクの再評価を行うこと。
次の検討を行う。
1) 以前に認識されなかったハザードまたは危険状態があるか
2) 以前に推定したリスクが、もはや受容できないものになっていないかどうか
問題の発生が認められる場合は、新たな問題をハザードとして、一連のリスクマネジメント活動を行う。
つまり、当該機器ごとに作成されRMFに保管されたリスクマネジメントワークシートに、新たに発見されたハザードを追記する。
リスクに対する再評価を実施した場合は、その記録を文書化すること。
製造中および製造後の新たな問題に関する情報源には、下記のようなものが考えられる。
1) 顧客からの苦情
顧客からの苦情は、「顧客苦情管理規程」に基づき収集し、管理する。
2) 新規に制定された、あるいは、改正された法規制等によって、それ以前に設計・開発された製品に係る規制が追加・変更される事項
3) 当該製品または類似製品で明らかになった安全性管理情報で、当該製品に当てはまる事項
これは「GVP規程」による安全管理情報の監視から得る。
4) 製造に関わる情報
例えば、製造に使用する装置のメーカーから、メンテナンス期間の短縮等の情報が新たに寄せられるなど、製造に関わる新たな情報が明らかになった場合。
この情報は製造担当部門が収集する。
9. 体外診断用医療機器(IVD)のリスクマネジメントモデル
体外診断用医療機器(体外診断用医薬品を含む)は、患者に直接接触することはない。つまり、当該体外診断用医療機器の欠陥により、患者がけがをすることはない。そのため、リスクの評価があいまいになりがちである。
図8に、体外診断用医療機器のリスクマネジメントモデルを示す。
図8.体外診断用医療機器のリスクマネジメントモデル
医療機器企業が、品質マネジメントシステムや設計管理を不適切に実施した場合、許容できないリスクの潜在する製品が市場に出荷されることになる。
検査室で当該体外診断用医療機器の不具合・故障による部品等の損失等が発生した場合、財産上の危害が発生する。ISO-14971においては、財産の害も危害の定義に加えていることに注意が必要である。財産上の危害だけで済む場合はまだ良いが、オペレータ(検査技師)が傷害を負ったり、死亡に至るようなことがあってはならない。
また、当該体外診断用医療機器の不具合・故障により、誤った検査結果が出力された場合、患者への危害の原因となってしまう。例えば、悪性の腫瘍を良性と診断したり、異常な値を検出できなかったりした場合などである。その場合、医師が適切な治療をタイムリーに実施できなかったり、医薬品の処方を間違ったりといった誤治療が発生する。
また、当該体外診断用医療機器から出力された検査結果を、医師が誤解釈したり、誤診断してしまうなどのヒューマンエラーも考えられる。やはりこの場合においても、誤治療が発生する。
誤治療は、患者への危害の原因になる。誤治療によって、患者に異常が発生したり、病状が悪化し、傷害や死亡といった具体的な危害が発生することになる。
さらに知りたい場合は、こちらへお問合せください。
リスクマネジメントに関する書籍
| 【要点をわかりやすく学ぶ】 製薬・医療機器企業におけるリスクマネジメント | |
| ≪ここがポイント≫ 医薬品・医療機器それぞれのリスクマネジメントを初心者にも解りやすく解説! ・リスクマネジメントの全体像の把握と個々のアセスメント手法の理解 ・リスクベースドアプローチとは?? ・FDAが求めるリスク管理と査察対応 ・医薬品・医療機器のリスクマネジメントの差異と各特徴・留意点 ・「リスク」と「ハザード」の違いと各特定方法、マネジメント手法 【発刊日】2015年8月28日 【著 者】株式会社イーコンプライアンス 代表取締役 村山 浩一 |
筆者が常日頃から思ってきたことは、医薬品(ICH-Q9)や医療機器(ISO-14971)に関するリスクマネジメントのセミナーや書籍が皆目ないということである。その理由は定かではないが、おそらくいずれも非常に難解であることと、網羅的に実践した経験者が圧倒的に少ないことに起因するのではないかと思われる。
本書では、医薬品と医療機器のリスクマネジメントを両方取り扱う。医薬品と医療機器では、リスクマネジメントに関する対応方法や対象が異なる。
しかしながらそのプロセスはほぼ同じである。
医薬品と医療機器で、どのようにリスクマネジメントの実施に差異があるかということにも言及した。本書では、難解なリスクマネジメントについて、できる限りわかりやすく執筆したつもりである。本書が、読者諸兄のリスクマネジメントへの理解を深める一助となり、より安全な医薬品・医療機器を世の中に出せることを願っている。 (はじめに 抜粋)
ご購入はこちら。
リスクマネジメントに関する規程・手順書・様式
| 【ISO14971:2007対応】 リスクマネジメント規程・手順書・様式 | |
| ISO14971:2007に沿った形のリスクマネジメント規程・手順書・様式です。 医療機器設計におけるリスク分析は、ISO-14971に従って実施されています。 リスクマネジメント実施のための手順や様式を整えておかなければなりません。 これから作成する医療機器企業やISO-14971認証審査を予定している企業、認証機関から改善指示を受けた企業向けに、サンプルをご用意いたしました。 MS-Word形式ですので、貴社でご自由に加筆・修正を行っていただけます。 |
≪様式一覧≫
※ご注文いただきますと、以下の様式を電子メールにて Wordファイル形式で納品いたします。
・MD-QMS-K5 リスクマネジメント規程
・MD-QMS-S501 リスクマネジメント手順書(ソフトウェアあり)
・MD-QMS-S501 リスクマネジメント手順書(ソフトウェアなし)
・MD-QMS-F501 ハザード項目検討票
・MD-QMS-F502 リスクマネジメントワークシート(ソフトウェアあり)
・MD-QMS-F502 リスクマネジメントワークシート(ソフトウェアなし)
・MD-QMS-F503 リスクマネジメント計画書テンプレート
・MD-QMS-F504 リスクマネジメント報告書テンプレート
ご購入はこちら。