欧州NIS指令が医療規制対応にもたらすインパクト：海外医療技術トレンド（33）（3/3 ページ）

欧州連合（EU）では、2018年5月から適用開始予定の一般データ保護規則（GDPR）に注目が集まっているが、その一方で、サイバーセキュリティのNIS指令がもたらすインパクトも大きい。特に、医療規制対応では、GDPRに加えてこのNIS指令に注目すべきだろう。

[笹原英司，MONOist]

EU域内統一ルールと加盟国の個別法制の改変が続く複雑な規制環境

　ここで、図4は、2018年3月時点の情報に基づき、欧州の医療機器／医薬品を取り巻くルールの関係を整理したものである。

図4　欧州の医療機器・医薬品を取り巻くルールの関係（2018年3月時点の情報に基づく）（クリックで拡大） 出典：NPO法人ヘルスケアクラウド研究会（2018年3月）

　GDPRは、EU域内の統一ルールだが、NIS指令はEU域内のミニマムスタンダードであり、実際の法令制定／運用や強制執行措置は各国当局に委ねられる。英国政府のように、サイバーセキュリティ関連法違反事案に対して、GDPR並みの制裁金を課す姿勢を示すケースもあり（関連情報）、各国政府の対応が注目される。

　これに対して、医薬品の場合、英国ロンドンに本部を有する欧州医薬品庁（EMA）所管下で「人用および動物用薬品の認可手続きと監視ならびに医薬品庁の設立に関する規則」がEU域内に一律適用される仕組みをとってきた（関連情報）。ただしEMAは、英国のBrexit（EU脱退）に伴い、オランダのアムステルダムに移転する計画を発表しており（関連情報）、これまでロンドンに欧州事業の中核拠点を置いてきたEU域外医薬品企業も、何らかの対応を迫られている。

　また、医療施設の臨床現場向けには、2014年4月、EU臨床試験規則（関連情報）が成立した。現行の臨床試験指令に基づく各加盟国の法規制体制から、2019年より、EMA所管下でEU域内一律適用体制に移行する計画を公表している。新たな臨床試験規則の特徴を挙げると以下の通りである。

• リスクの低い臨床試験に関する規制緩和（例：「低介入臨床試験」カテゴリーの導入）
• 臨床試験申請の統一化（EMAのEUポータル）
• 資料保存期間の長期化（5年から25年へ）
• 公開データベースへの登録・結果報告義務

　これに対して、医療機器の場合、EU域内のミニマムスタンダードである「医療機器指令（MDD）」や「体外診断用医療機器指令（IVDD）」に基づく各加盟国の法規制体制から、EU域内統一ルールである「医療機器規則（MDR）」や「体外診断用医療機器規則（IVDR）の一律適用体制へ移行する計画を表明している（関連情報）。

　デジタルヘルスに関しては、本連載第30回で紹介したように、「EUデジタルヘルス社会宣言」に代表される社会課題解決型デジタルヘルスの枠組み作りが進んでおり、本連載第27回で紹介した米国FDAのように、具体的なイノベーションのソリューション化／事業化に向けた動きとどうハーモナイズしていくかが注目される。

　日本の医療機器企業やデジタルヘルス関連企業から見ると、GDPRやNIS指令は遠く離れた対岸の火事に感じられるかもしれないが、ICTを共通基盤とする薬事・医療機器規制の日米欧三極連携体制強化が進む中、日本国内で具体的影響が顕在化して初めて体制づくりを始めたのでは手遅れになる可能性がある。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara