海外工場を抜き打ち査察する米国FDAのOTセキュリティ要件、日本も例外ではない：海外医療技術トレンド（125）（3/3 ページ）

本連載第114回で、米国第2次トランプ政権における医療IoT／OTセキュリティ動向に触れたが、今回は米国食品医薬品局のOTセキュリティ施策を取り上げる。

[笹原英司，MONOist]

海外製造業者に対する査察強化姿勢を打ち出したFDA

　第2次トランプ政権が米国内産業支援策を強める中、医療機器メーカーを監督するFDAでも、新たな動きがでてきた。本連載第109回で、FDAの規制監督業務におけるDX（デジタルトランスフォーメーション）の取り組みを取り上げたが、その後2024年10月1日、FDAの規制監督業務を担ってきた規制問題室（ORA）が査察・調査室（OII）に改編されている（関連情報）。OIIは、食品、医薬品、医療機器など、FDAの規制対象となる全製品を取り扱う。

　FDAは2025年5月6日、米国の消費者や患者向けに食品や不可欠な医薬品およびその他の医療製品（医療機器を含む）を製造する海外の製造施設に対して、抜き打ち査察の利用を拡大する方針を発表した（関連情報）。この変更は、インドおよび中国で実施されたFDAの「外国抜き打ち検査パイロットプログラム」に基づいたものであり、外国企業が国内企業と同等レベルの規制監督や精査を受けることを目的としている

　FDAは毎年、米国内で約1万2000件、海外90カ国以上で約3000件の査察を実施している。米国の製造業者は頻繁に抜き打ち検査を受けているが、外国企業は数週間の準備期間が与えられることが多く、このことが監督プロセスの公正性を損なっているという。FDAが、外国企業に事前通知を行った場合、FDAは国内検査よりも2倍以上の頻度で深刻な不備を発見したとしている。

　米国内でも、特定のプログラムやケースにおいて、必要な記録や担当者を確保するためにFDAの査察が事前に通知されることもあるが、規制対象企業には、検査の日程や時間を交渉する権限はない。外国企業も同様に、その権限を持つべきではないとしている。

　今回の改善策により、FDAは米国に輸入される全ての製品が安全で正当、そして誠実に製造されていることの保証を強化するとしている。抜き打ち査察は、記録の偽造や違反行為の隠蔽（いんぺい）を行う不正行為者を査察の過程で明るみに出し、米国人の命を危険にさらす前に対処する助けになる。FDAは、検査の遅延、拒否、制限を試みる、また抜き打ちの医薬品や医療機器検査の許可を拒否する企業に対して、規制措置を取る権限を有している。

　日本から米国に輸出する医療機器製造業者に対しても、米国内と同様の抜き打ち査察が実施されるので、早急な対応準備が必要である。

FDAがコロナ禍を踏まえた改定版遠隔規制評価ガイダンスを公開

　本連載第109回で、FDAの要求事項の順守状況を評価するために、全体を通して遠隔で実施される遠隔規制評価（RRA）を取り上げたが、FDAは、2025年6月26日、「遠隔規制評価（RRA）の実施に関する質問と回答−業界向けガイダンス」最終版（関連情報）を公開した。

　これは、COVID-19パンデミック緊急事態下の2022年の法律改正（2022年食品・医薬品包括改革法（FDORA））（関連情報）に基づいて改定されたガイダンスであり、企業に対する査察の前または代わりに記録の提供を求める要請など、遠隔規制評価に関連するFAQ集を提供することによって、遠隔規制評価に対する理解を深め、ひいてはFDAによる遠隔規制評価の実施プロセスを円滑化することを目的としている。

　この最終版ガイダンスは、FDAの規制対象となる全製品が対象であり、以下のような構成になっている。

• I．イントロダクション
• II．背景
• III．質問と回答
  • A．遠隔規制評価の基礎
    • 1．RRAは何か？
    • 2．誰がRRAの対象になる可能性があるか？
    • 3．RRAは、査察外の情報を取得するその他の確立した手段を置き換えているか？
    • 4．RRAは査察か？
    • 5．FDAは、いつ、RRAの実施を開始または要求する可能性があるか？
    • 6．FDAは、事業所に対するFDA査察の期間中または一部として、RRAを利用するか？
    • 7．RRAの便益は何か？
  • B．遠隔規制評価の見通し
    • 8．FDAは、どのような方法で、RRAを要求する可能性があるか？
    • 9．事業所は、RRAの期間中、どのようなことが起きると想定できるか？
    • 10．RRAの参画を断ると、いかなる結果があるか？
    • 11．RRAに対する技術的見通しは何かあるか？
  • C．遠隔規制評価の一部としての記録またはその他の情報の要求
    • 12．FDAは、RRAの一部として、どのような記録またはその他の情報を要求する可能性があるか？
    • 13．FDAは、どのような目的で、RRAの期間中に収集した記録およびその他の情報を利用する可能性があるか？
    • 14．RRAが、記録またはその他の方法を要求する場合、記録およびその他の情報をFDAに提出するために、どのようなタイムフレームがあるか？
    • 15．RRAの要求に対応して、どのような方法で、記録またはその他の情報を、FDAに提供すべきか？
  • D.遠隔規制評価の完了
    • 16．RRAの完了に際して、どんなことが起きる可能性があるか？

　日本から米国に輸出する医療機器製造業者に対しては、前述の抜き打ち査察と同様に、遠隔規制評価についても迅速な対応準備が求められる。

日本でも注目されている製造OTセキュリティ

　なお、本連載第60回で触れたように、米国立標準技術研究所（NIST）では、NISTサイバーセキュリティフレームワークに準拠したIoT機器製造者向けサイバーセキュリティ関連ガイダンス類の作成／改定作業を行っている。その後2023年9月28日には、「NIST SP 800-82 Rev．3 制御（OT）セキュリティガイド」（関連情報）が公開され、直近では、2025年9月29日に「NIST IR 8183 Rev. 2 サイバーセキュリティフレームワーク2.0製造業プロファイル」初期公開草案（関連情報）が公開され、パブリックコメントを募集している（募集期間：2025年11月17日まで）。

　医療機器企業の場合、製品の研究開発部門や製造部門、メディカルアフェアーズ部門と、本社の品質管理部門、コーポレートセキュリティ部門が個別に活動してきた経緯があり、トータル製品ライフサイクル（TPLC）管理の観点からOTとITの連携を可能にする組織体制の構築が遅れている。日本国内でも、経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（関連情報）を策定／公開するなど、OTセキュリティに対する関心が高まっている。いつ米国FDAの査察官がやってきても対応できるような準備体制の整備は、不可避となっている。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara