(注意)本記事は生成AIによって調査・生成されたものであり、正確性を保証するものではありません。参照にあたっては、各国の公式情報や専門家の意見を確認してください。
この記事では、韓国、タイ、インド、シンガポール、インドネシア、マレーシア、ベトナムの医療機器ソフトウェア規制について、情報を収集し整理します。
各国の医療機器ソフトウェア規制の概観
| 国/地域 | 認証プロセス (医療機器ソフトを含む登録手続) | 規制機関 (主務官庁・認証機関) | クラス分類 | サイバーセキュリティ要件 | UDI(機器識別) | 相互認証・規格の採用 | 他国規制との関係 |
|---|---|---|---|---|---|---|---|
| 韓国 | リスク分類に基づきクラスⅠは届け出、既存製品と同等のクラスⅡは適合性認証、新規のクラスⅡ・クラスⅢ・ⅣはMFDS承認 (Ref)。製造業者はISO13485準拠のQMSを実施し、クラスⅡ~ⅣはMFDS指定の審査機関による現地監査が必要 (Ref)。 | MFDS(食品医薬品安全処): 医療機器安全局と医療機器審査部門が審査を管轄 (Ref)。一部業務はNIDS(医療機器安全情報院)等の指定機関に委託 (Ref)。 | クラスI~IVの4区分(IMDRFの原則に調和) (Ref)。リスクに応じ分類し、ソフトウェアも他の機器同様に分類される。 | IMDRFガイダンスと同等のサイバーセキュリティ要件を導入 (Ref)。MFDSは医療機器サイバーセキュリティガイドラインを策定し、脆弱性評価やソフトウェア資材表(SBOM)の提出などを求めている (Ref)。 | UDI制度を段階的に実施。クラスIV機器で2019年7月開始、クラスI機器も含め2022年7月までに全クラス義務化完了 (Ref)。医療機器ソフトウェアもUDI表示の対象 (Ref)。 | 国際規格を採用。QMSはISO13485に調和 (Ref)、リスクマネジメントやソフト品質はIEC62304等の国際規格に準拠。IMDRF加盟国としてガイダンスを整備。 | IMDRF/GHTF原則に整合した制度。海外データや承認も受入れ易い環境で、国際的な調和を重視。(例: 米FDAや欧州CE承認品の資料提出が審査で活用可能)。 |
| タイ | リスク別にクラス1はリスティング(登録のみ)、クラス2・3は要通知、クラス4は許可制(ライセンス) (Ref)。2024年よりSaMD登録指針が導入され、ソフト単体を3分類(クラス1~3)に区分し、クラスに応じ提出資料要件が増える (Ref)。海外製造業者は現地代理人を通じ申請。 | タイ食品医薬品局(Thai FDA)医療機器管理部が規制 (Ref)。保健省告示B.E.2562によりASEANガイドライン準拠の分類制度を施行 (Ref)。 | クラス1~4の4区分(ASEANリスク分類) (Ref)。SaMD指針ではリスクに応じクラス1~3の区分を定義 (Ref)。 | 接続機能を持つ機器はサイバー対策必須と指針で明示 (Ref)。個人データ保護も求められる (Ref)。※専用のサイバーセキュリティ基準は策定中の可能性があるが、現行では一般的な安全要求事項の一部として管理。 | UDI制度は未整備(2025年現在)。タイFDAは国際的UDI導入検討段階と見られるが、公式な義務化は報告されていない。 | ASEAN医療機器指令(AMDD) に調和した規制を採用 (Ref)。ISO13485準拠のQMS証明提出が必要。製品技術文書はASEAN共通提出テンプレートに沿って作成。 | 他国承認との連携: クラス2~4申請時に他国での承認証明提出が求められる (Ref)。シンガポールHSA承認品は一部ハイリスク機器で審査迅速化の対象 (Ref)。 |
| インド | 医療機器規則2017に基づきリスク別に認証。クラスA/Bは州当局への登録(簡易手続) 、クラスC/Dは中央当局(CDSCO)による許可(詳細審査) (Ref) (Ref)。SaMDも医療機器とみなされ、2021年ガイドラインでIMDRF準拠のリスク分類(A~D)を適用 (Ref) (Ref)。 | CDSCO(中央薬事標準管理機構)が規制監督。保健家族福祉省配下で、DCGI(薬事総監)が承認権限を持つ。 | クラスA~Dの4区分(低リスクAから高リスクD) (Ref)。SaMD分類もこれに対応し、CDSCOはIMDRFガイドラインに沿ってソフトをA~Dに分類 (Ref)。高リスクのD相当のSaMDは現在該当例なし (Ref)。 | 個別のサイバーセキュリティ規制は未確立。ただしIEC 81001-5-1(医療機器のサイバーセキュリティ)等の国際規格準拠を要求 (Ref)。患者データ保護についてはパーソナルデータ保護法案により整備中 (Ref)。 | UDI制度なし(インド国内では現行法でUDI規定はない)。製品表示は医療機器規則2017に準拠し、ロット番号や製造業者情報等を表示。UDI導入は今後の課題。 | 国際規格の採用: QMSはISO13485必須 (Ref)。リスク管理ISO14971、ソフト開発IEC62304などグローバル標準を準拠要件とする (Ref) (Ref)。 | 海外規制との連携: 輸入品では原産国のフリーセールス証明提出が求められ、CDSCOは他国当局の工場査察報告を代替活用可能 (Ref)。IMDRFオブザーバー参加など国際調和に注力。 |
| シンガポール | リスク別にクラスAは届出(登録不要)、クラスBは登録(簡易審査)、クラスC/Dは登録(詳細審査)。他国承認機器は**審査簡略化ルート(abridged)**適用可 (Ref) (Ref)。HSAの2024年ガイダンスではソフトウェアの製品ライフサイクル全体での管理を強調。変更管理では重大なアルゴリズム変更等は事前承認が必要 (Ref)。 | HSA(保健科学庁)医療機器部門が所管。医療製品法に基づき審査・市販後監視を実施。 | クラスA~Dの4区分(低リスクA~高リスクD、EUと同様) (Ref)。ソフトウェアも一般医療機器と同様にリスク分類される。 | サイバーセキュリティ要求を明文化。製造業者は脆弱性評価、インシデント対応計画、定期的なセキュリティ更新を実施し患者データ保護とデバイスの完全性を確保すること (Ref)。2024年には世界初の 医療機器サイバーセキュリティラベリング制度(CLS(MD)) を任意導入 (Ref) (Ref)。HSAのセキュリティ基準はIMDRF勧告と調和 (Ref)。 | UDI制度を導入中。高リスク機器は2024年11月までにUDI表示義務、中リスクは2026~2028年まで段階施行予定(クラスD:2024年、C:2026年、B:2028年、クラスAは任意) (Ref) (Ref)。 | ASEAN共通承認様式(CSDT) を採用し、IMDRF ToCとも整合 (Ref)。QMSはISO13485必須 (Ref)。AI搭載機器や臨床評価も国際指針に準拠したガイダンスを発出。 | 他国規制との相互承認/依存: HSAは米FDAやEU当局等の承認製品に対し審査期間を短縮する簡略審査制度を運用。シンガポールの承認はASEAN諸国(例: タイ)で優先審査認可として認知 (Ref)。IMDRF加盟。 |
| インドネシア | 全クラスで保健省への製品登録(マーケティングライセンス)必須。クラスAは迅速な登録処理(約15日)、クラスB/Cは約30日、クラスDは45日程度 (Ref)。現地の販売業者が代理申請し、承認後に輸入許可取得。 | 保健省(MOH) 医療機器部門が審査・市場監督 (Ref)。医療機器の基準策定やGMP認証も管轄 (Ref)。 | クラスA~Dの4区分(ASEAN/GHTF調和) (Ref)。リスクに応じ低→高に分類し、必要書類と審査厳格さが段階化。ソフトウェア単体も医療目的なら機器とみなされリスク分類される(明確な国内指針はないが国際基準に従う)。 | 個別のサイバーセキュリティ規定は未導入。機器の基本要件として安全性確保が求められ、製造業者はリスク管理プロセスでITセキュリティ上のリスクにも対応することが期待される(明文化されたガイダンスは未整備)。 | UDI制度なし(2025年現在)。トレーサビリティは保健省の管理システム上で製品情報を登録することで対応。UDI導入は今後検討課題。 | 国際標準の活用: ISO13485による品質マネジメント証明書の提出が登録要件 (Ref)。宣言適合(DOC)や技術文書も国際規格に沿って準備。ASEAN医療機器指令に調和した制度運用。 | 他国規制との関係: 製造国のFree Sales Certificate提出が必須 (Ref)で、原産国等で承認・販売実績があることを要証明。AHWP(アジア規制調和会議)参加国として国際調和を推進。 |
| マレーシア | MDA登録制度: クラスA~D全て登録必要(電子申請システムMeDC@St使用) (Ref)。ただし米・EU・日・加・豪の承認取得済み機器は簡略化手続(abridged) で技術文書提出可能 (Ref)。現地認定機関(CAB)による技術文書審査・工場監査を経てMDAが登録証を発行 (Ref)。 | 医療機器庁(MDA)(保健省管轄)が審査・市場監視を担当。第三者の 適合性評価機関(CAB) が審査を補完 (Ref)。 | クラスA~Dの4区分(EUと同様) (Ref)。低リスクはクラスA。ソフトウェアもリスクに応じ分類。クラスA非滅菌等一部を除き全て登録対象。 | 明確な専用ガイドラインは未発表。ただしEssential Principles(基本原則)でソフトウェア含む全機器の情報セキュリティ確保が要求される。また製造業者にはサイバーリスクを考慮した設計と対策を奨励。今後、当局によるガイダンス策定の可能性あり。 | UDIは今後導入予定。2023年に業界への準備状況調査を実施するなど段階的導入を検討 (Ref)。2025年初頭のMDA年次会合でもUDI整備計画が言及 (Ref)。現時点では義務化されていない。 | 国際標準・承認の活用: 認証参考国として米国FDA、EU、カナダ、日本、オーストラリアを公式に認定しており、これらの承認を取得した製品は提出資料を簡略化可能 (Ref)。ASEAN CSDT様式を採用しEssential Principlesチェックリスト提出が必要 (Ref)。 | 他国規制との連携: 2025年に中国NMPAとMDAが協力協定を締結し、相互に承認製品の迅速登録を可能にする枠組みを開始 (Ref)。例:中国で承認済みのクラスC/D機器はマレーシアで1~2ヶ月で登録可能、マレーシア承認のクラスB機器は中国で迅速承認 (Ref)。このように海外当局との連携や承認相互活用を積極的に推進。 |
| ベトナム | 医療機器番号(登録証)取得が必要(無期限有効): クラスA/Bは保健省地方局への届出、クラスC/Dは保健省への登録申請 (Ref) (Ref)。提出資料はASEAN-CSDT形式(2022年以降必須) (Ref)。ただし単体ソフトウェアは規制対象外で登録不要 (Ref)。 | 保健省 医療機器管理局(IMDA) が中央審査。当局がクラスC/Dの登録番号発行や基準策定を行う (Ref)。地方保健局がクラスA/B届出を管轄 (Ref)。 | クラスA~Dの4区分を採用(低リスクA~高リスクD)。注: 「医療目的のソフトウェア」はDecree 98により分類・登録の適用除外 (Ref)で、現行制度上は医療機器として扱われない。 | サイバーセキュリティ要件の明示規定なし。医療機器の基本要件として安全性・有効性確保義務はあるが、ソフト単体が非規制であることもあり、サイバーリスク管理の詳細指針は未整備。今後国際動向に合わせ整備の可能性。 | UDI制度なし。製品トレーサビリティは登録番号とロット管理で対応。UDIの導入について公式発表はない。 | 国際的枠組の採用: 登録申請はASEAN共通書式CSDTで提出 (Ref)。クラスC/D申請にはISO13485適合証明や原産国承認証(CFS)が必要。基準は基本的にIMDRF/GHTFの国際基準に沿う。 | 他国規制との関係: 主要国の承認を持つ機器はクラスC/D登録でfast-track優遇(迅速審査)対象 (Ref)。対象例:米FDA、欧州連合、英国、豪TGA、日MHLW/PMDA、加Health Canada、中国NMPA、韓国MFDS承認品など (Ref)。国際承認の有無で審査が効率化され、グローバル整合を重視する姿勢。 |
各国の医療機器ソフトウェア規制に関する詳細レポート
以下に、韓国、タイ、インド、シンガポール、インドネシア、マレーシア、ベトナムの順で、医療機器ソフトウェア(Software as a Medical Device, SaMD)に関する最新の規制動向を、認証プロセス・規制機関・クラス分類・サイバーセキュリティ要件・UDI・相互認証や規格採用・他国法規制との関係といった観点からまとめます。
韓国 (South Korea)
認証プロセス:
韓国では医療機器はリスクに基づき4段階に分類されており、ソフトウェア医療機器も例外ではありません (Ref)。リスク最も低いクラスIは当局への 届出(通知) のみで市場投入が可能です (Ref)。中程度リスクのクラスIIについて、既存の類似製品が存在する場合(サブスタンシャルイクイバレント; SE)は適合性審査・認証で承認されます (Ref)。一方、まったく新規のクラスII(No Substantial Equivalent; NSE)や高リスクのクラスIII・IVは、韓国規制当局による個別の承認審査が必要です (Ref) (Ref)。この審査では技術文書レビューや必要に応じた臨床試験データの提出が求められます。製造業者は品質マネジメントシステム(QMS)としてISO 13485に適合した韓国GMP(KGMP)を実施する必要があり、クラスII(SE除く)以上の機器については当局または委託機関による工場監査が義務付けられます (Ref)。
規制機関:
韓国の医療機器規制当局は 食品医薬品安全処(MFDS) です (Ref)。MFDS内に医療機器安全局(政策策定・基準策定・不具合情報管理)と医療機器審査評価部(審査・試験研究担当)があり、地方に6つの支部を持っています (Ref)。MFDSは業務効率化のため、品質マネジメントシステム監査機関、医療機器試験所、技術文書審査機関、医療機器臨床試験センター等の指定外部機関と協力しています (Ref)。クラスI・II(SE)の審査やQMS監査の一部は、MFDS所管の 国家医療機器安全院(NIDS) などに委任されています (Ref)。なお、革新的な医療機器に対しては優先審査や開発支援を行う制度もMFDS内に整備されています (Ref)。
クラス分類:
韓国はクラスI~IVの4段階のリスク分類を採用しています。これは 国際医療機器規制当局フォーラム(IMDRF) が提唱する原則に調和したものです (Ref)。リスクが低いものから高いものへI, II, III, IVに分類され、ソフトウェアについてもその intended use(医療上の目的)や与えるリスクの程度に応じ、この枠組みに当てはめられます。例えば患者の診断・治療に直接影響しない簡易な医療アプリはクラスI相当となり、診断支援や治療計画に関与する高度なアルゴリズムはクラスIIIまたはIVに分類され得ます(具体的分類基準は個別ガイダンスで定義)。韓国はIMDRFメンバーとして国際整合を図っており、分類ルールもグローバル基準に則っています (Ref)。なお、この分類に応じて承認プロセスやUDI実施時期が異なります(後述)。
サイバーセキュリティ要件:
韓国MFDSは医療機器のサイバーセキュリティにも重点を置いています。IMDRFのサイバーセキュリティガイダンスに相当する要件を国内規制に取り込み、ガイダンスも発行しています ()。具体的には、MFDSは「医療機器サイバーセキュリティの審査・承認に関する指針」や「医療機器のサイバーセキュリティに関する原則と実践」など複数のガイドラインを公表し、メーカー向けにサイバーセキュリティ計画の策定、ソフトウェア材料表(SBOM: Software Bill of Materials)の提出、既知の脆弱性管理、セキュリティアップデート計画、旧式OSを用いる機器の対策等を求めています (Ref)。こうした要件は米FDA等と同様の水準であり、国際標準(例えばIEC 81001-5-1)にも整合しています。韓国の医療機器には市販前にこれらサイバーセキュリティ対策を講じること、市販後も脆弱性情報の収集とアップデート提供を継続することが求められます。
UDI(機器識別):
韓国はUnique Device Identification(UDI)制度をアメリカ・EUにならって導入済みです。MFDSは医療機器にUDIコード表示を義務付ける規則を定め、クラス分類に応じて段階的に実装しました (Ref)。具体的には クラスIV(最も高リスク)機器は2019年7月 からUDI表示を開始し、クラスIIIは2020年7月、クラスIIは2021年7月と順次拡大、クラスI(最低リスク)は2022年7月までにUDI表示を義務化しました (Ref)。このスケジュールにより2022年以降、韓国で市販される全ての医療機器(ソフトウェアを含む)にUDIが付与されています (Ref)。医療機器ソフトウェア(ダウンロード製品等)のUDI表示方法についてもガイダンスがあり、起動時のスクリーンや電子ラベルでUDIを提供する形で対応しています ()。UDI情報は韓国医療機器情報システムに登録され、トレーサビリティや不具合時のリコールに活用されています。
相互認証・規格の採用:
韓国は医療機器規制において国際規格および国際的枠組みを積極的に採用しています。品質管理ではISO 13485を国家標準(KGMP)に取り入れ (Ref)、リスクマネジメントにはISO 14971、ソフトウェアのライフサイクルプロセスにはIEC 62304などを事実上要求しています (Ref)。またIMDRFの文書やGHTF時代のSTED文書に沿った技術文書構成を採用し、臨床評価もISO 14155に準拠するなど (Ref)、主要国・地域と足並みを揃えた規制運用です。韓国はIMDRF加盟当局として他国との情報共有やガイダンス調和にも熱心であり、その一環でサイバーセキュリティやAI医療機器の指針策定もIMDRFの枠組みを踏襲しています ()。
他国法規制との関係:
韓国MFDSは国際調和を重視しており、欧米など他国の規制動向との整合性が高くなっています。例えばリスク分類は欧州やIMDRFと共通であり、新たな技術領域(AI医療機器等)の審査基準も米FDAや欧州ガイダンスと整合するよう策定されています。また、韓国国内で承認申請する際、すでにFDA承認やCEマーキングを取得している場合はその審査資料や試験データを活用でき、審査が円滑になる傾向があります(正式な承認相互認証制度は無いものの、海外での市販実績は評価上プラスに働きます)。韓国はMDSAPには参加していませんが、国際的な審査協力の動きにはオブザーバー参加し情報交換を行っています。総じて、韓国の医療機器ソフトウェア規制は国内固有の要件と国際標準とのバランスをとりつつ運用されていると言えます。
タイ (Thailand)
認証プロセス:
タイでは2019年に医療機器分類の新基準(タイ保健省告示B.E.2562)が公布され、ASEAN共通のリスク分類に沿った制度へ移行しました (Ref)。それに伴い リスクの低いクラス1は届出(リスト) 手続となり、中程度の クラス2および3は当局への通知(ナティフィケーション) 、 最高リスクのクラス4は保健省からの販売許可(ライセンス)取得 が必要と定められています (Ref)。具体的にはクラス1は簡易な登録(リスティング)で市場に出せ、クラス2・3は指定様式による届出と当局確認、クラス4は詳細な技術文書を添えて申請し承認を得るプロセスです (Ref)。2021年、タイFDA(医療機器管理部)はソフトウェア医療機器(SaMD)のガイダンスを発表し、ソフトウェアが医療機器に該当するかの判断基準やリスク分類を示しました (Ref)。この新指針(2024年5月発効)は、ソフトウェアを組込みソフト(機器に内蔵)、単体ソフト(独立して動作)、ソフトウェア付属品(他機器の機能向上用)、非医療ソフトの4種類に分類し (Ref)、そのうち医療目的の単体ソフトウェア(SaMD)についてリスクに応じ3段階(クラス1~3)のカテゴリを設定しています (Ref)。クラス1 SaMDは比較的提出要求が簡易で、製品仕様書・ラベル情報・適合宣言書・海外での登録証(ある場合)の提出程度ですが、クラス2・3 SaMDはリスク分析報告、製造および廃棄手順、品質システム証明、海外承認状況など詳細な文書提出が求められます (Ref)。総じてタイでは、ハードウェア医療機器同様にソフトウェアについてもリスク別の登録制度が整備されつつあり、市場参入には該当クラスに応じた届出・許可取得が必要です。外国メーカーは現地のライセンス保有業者を代理人として任命し、申請手続きを行わねばなりません (Ref)。
規制機関:
タイにおける医療機器規制当局は タイ食品医薬品局(Thai FDA) の中の 医療機器管理部(Medical Device Control Division, MDCD) です (Ref)。MDCDが医療機器と体外診断薬の登録・許可・市場監視を担当しています。タイはASEAN医療機器指令(AMDD)への対応として法制度を整備しており、2018年改正の医療機器法(Medical Device Act (No.2) B.E.2562)によって前述のリスク分類制度が導入されました (Ref)。規制機関であるThai FDAは、製品分類確認サービス(任意)を提供し (Ref)、提出書類がクラスに応じて適切か、どの承認ルートに該当するかの相談も受け付けています。なお、審査自体はThai FDAの内部で行われ、必要に応じて専門委員会の意見を求める仕組みです。クラス4の高リスク機器は市販前に詳細審査・評価が行われ、クラス1は簡易な受付処理のみとなります (Ref)。
クラス分類:
クラス1(低リスク)、クラス2(低~中リスク)、クラス3(中~高リスク)、クラス4(高リスク) の4区分が採用されています (Ref)。この分類はASEAN地域での調和分類であり、欧州のクラスI~III+分類ルールとも概ね対応しています (Ref)。分類ルールは侵襲性、使用期間、依存するエネルギーの有無、患者への影響範囲などに基づいて定められています (Ref)。ソフトウェアについては2024年のガイダンスで3区分(1~3)とされていますが、これはおそらく全体のクラス1~4体系にマッピングされており、ソフト単体で極めて高リスクのもの(例えば生命維持に直接関与するようなもの)は想定が少ないためクラス3までで十分という趣旨と推察されます (Ref)。つまり、SaMDクラス1はハード機器で言うクラス1~2相当、SaMDクラス2がハード機器のクラス3相当、SaMDクラス3がハード機器クラス4に匹敵するリスク、という位置づけと考えられます(ただし公式には単体ソフト用クラス体系として独立運用)。いずれにせよ、タイ当局はソフトウェアの医療用途を明確に定義し、リスクベースでクラス分けする体制を整えています。
サイバーセキュリティ要件:
タイにおいては近年、サイバーセキュリティと個人情報保護が医療機器にも重要と認識され始めています。2024年のSaMD指針でも、外部システムと連携するソフトウェア医療機器は適切なサイバーセキュリティ対策を講じ、個人データを保護することが要求として明示されました (Ref)。具体的には、ネットワーク接続する診断アプリやクラウド連携する医療ソフトは不正アクセス防止策やデータ暗号化などの標準的なサイバーセキュリティ基準を満たす必要があります。またタイでは2022年に個人情報保護法(PDPA)が施行され、医療情報の取扱いも厳格化されているため、医療機器ソフトウェア提供者には患者データの適切な管理が義務付けられます (Ref)。もっとも、医療機器向けの詳細なサイバーセキュリティ技術基準(例えば米国NISTやIMDRFのような)までは未だ整備されていません。現在は各メーカーがリスク評価に基づき必要な対策を実施するという一般的要求に留まっていますが、今後Thai FDAが詳細ガイドラインを出す可能性があります。なお、ソフトウェアの承認申請時には製品が満たすセキュリティ標準や通信プロトコルの安全性に関する記述が推奨されており、審査で重視される傾向にあります。
UDI(機器識別):
2025年現在、タイではUDI制度はまだ導入されていません。ASEAN地域全体でUDI(Unique Device Identification)の共通実装は議論段階にあり、タイFDAもその動向を注視しています。現状、医療機器には製品名やロット/シリアル番号、製造業者名などを表示する義務がありますが (Ref)、米国FDAやEU MDRのような標準化されたUDIコード体系は運用されていません。ただし、タイ当局内ではUDIの有用性(トレーサビリティ向上、不具合時の迅速対応)に関する検討が行われており、将来的にUDI要件が追加される可能性があります。例えば国内外の会議でタイFDA職員がUDI導入準備について言及したとの情報もありますが、公式な施行日は未発表です。つまり、タイでは現在UDI表示は義務ではないものの、将来的な制度変更に留意が必要です。
相互認証・規格の採用:
タイはASEAN医療機器指令(AMDD)に基づき、自国の制度を国際規格に調和させています。医療機器製造業者にはISO 13485の品質マネジメント認証取得が事実上求められ、申請時にその証明書(または同等の品質システム適合証明)の提出が必要です。また、技術文書はASEAN共通提出用テンプレート(CSDT: Common Submission Dossier Template)に沿った構成が推奨されており、これはIMDRFのToC(Table of Contents)ともマッピングされています。安全性・性能の基本要件(Essential Principles)もIMDRF/GHTFモデルを踏襲しています。タイ当局自体はIMDRFメンバーではありませんが、AHWP(アジア医療機器調和会議)のメンバーとして国際標準類の受け入れを推進してきました。したがって、リスク管理でISO 14971、ソフトウェアプロセスでIEC 62304といった各種IEC/ISO規格の適合がタイの認証でも重要となります。
他国法規制との関係:
タイFDAは他国の承認・規制との関係において、ある程度の相互依存・参照を行っています。まず、新規医療機器申請時には米国やEU、日本等での承認状況や市場流通状況の情報提出がクラスに応じ必要です (Ref)。クラス2~4(中~高リスク)の申請には、外国の認証当局から発行された承認証や自由販売証明(Free Sale Certificate)の提出が義務付けられており、それによって審査担当者が製品の実績を把握できるようになっています (Ref)。これは正式な相互承認ではありませんが、海外承認があることでタイでの審査もスムーズになる利点があります。また興味深い例として、シンガポールHSAで承認済みの一部高リスク医療機器については、タイでの登録審査を迅速化する措置が取られています (Ref)。具体的には、HSA承認書を添付することで審査期間を短縮できる枠組みがあり、タイ当局がシンガポールの審査水準を信頼していることが伺えます (Ref)。さらに、タイはASEAN各国と医療機器規制の調和協力を進めており、将来的にはASEAN域内での承認相互承認や審査結果共有といった仕組みも検討されています。まとめると、タイの医療機器ソフト規制はASEANの一員として国際調和しつつ、周辺国の制度や主要国の承認を活用して自国審査の効率化を図る方向にあります。
インド (India)
認証プロセス:
インドは2017年に「Medical Devices Rules 2017」を公布し、2018年から本格施行しました。これにより従来医薬品扱いだった医療機器が独立した規制体系に移行し、すべての医療機器(含むソフトウェア)が段階的に規制対象となりました (Ref)。認証プロセスはリスク別クラスに応じ異なります。 クラスA(低リスク) と クラスB(中低リスク) の機器は、各州の規制当局への登録・免許申請で販売許可が得られます (Ref) (Ref)。クラスAは比較的簡易な自己申告的プロセスで、オンライン登録(フォームMD-14提出)の後、州当局から免許(Form MD-5)が発行されます (Ref) (Ref)。クラスBも州当局管轄ですが、指定の第三者(ノーティファイドボディ)の適合性評価を経て免許取得となります。**クラスCおよびクラスD(高リスク)**は中央政府のCDSCO(中央薬事標準管理機構)への申請が必要で、中央の専門審査チームおよび技術諮問委員会(TAC)による詳細な技術評価が行われます (Ref)。申請はオンラインポータル“Sugam”を通じて行い、クラスC/Dの場合フォームMD-15で提出、承認されると中央から輸入/製造ライセンス(Form MD-6)が交付されます (Ref) (Ref)。審査内容には製品マスターファイル(PMF)・デバイスマスターファイル(DMF)、臨床評価報告、リスクマネジメント報告、性能試験結果、品質システム証明(ISO13485)など膨大な書類チェックが含まれます (Ref)。CDSCOは必要に応じ製造施設の実地査察を行いますが、輸入品に関しては他国当局の査察報告を活用して自らの現地査察を省略できる場合があります (Ref)。承認後のライセンス有効期間は5年間で、更新には継続的な適合性を示す必要があります (Ref)。インドは2020年2月の通知でデジタルヘルス機器を含む全ての機器を規制対象に加え(定義拡大) (Ref) (Ref)、以降 ソフトウェア医療機器も通常の医療機器と同じプロセス で登録・許可が必要となっています。2021年9月にはCDSCOからSaMDの分類ガイドラインが発出され、ソフトウェアのリスククラス判断基準が示されました (Ref)。これによりソフトウェアもクラスA~Dに区分され、 該当クラスに応じた上述のプロセス (州登録かCDSCO承認か)が適用されます (Ref)。
規制機関:
インドの医療機器規制は 中央薬事標準管理機構(CDSCO) が所管しています。CDSCOは保健家族福祉省下の組織で、長は Drugs Controller General of India (DCGI, 中央薬事総監)です。CDSCO本部はデリーにあり、全国の港湾・空港にオフィスを構え輸入品監督も行います。医療機器規制部門は薬事法1940年(D&C Act)と医療機器規則2017年に基づき、製造販売認可、品質検査、市販後監視を担当しています (Ref)。なおクラスA/B機器のライセンス発行権限は各州/連邦直轄地の薬事当局(States Drugs Controller)に委譲されています。インドは長らく限られた機器のみを規制対象としてきましたが、2020年以降あらゆる医療機器を段階的に網羅する方針に転換し (Ref)、CDSCOと州当局が連携して登録制度を運用しています。ソフトウェアについては特段の専用部署はありませんが、CDSCO内の医療機器評価部門が中心となり、IT専門家の助言も得ながら審査しているようです。
クラス分類:
インドはクラスA、B、C、Dの4区分リスク分類を採用しています (Ref)。これはIMDRF/GHTFの分類に沿ったもので、例えばクラスAは欧州クラスI相当、クラスDは欧州クラスIII相当と考えて差し支えありません。CDSCOは2021年に発表したSaMDガイドラインにおいて、ソフトウェアのリスク分類基準をIMDRFの分類ルールに準拠して定義しています (Ref)。具体的には、ソフトウェアの医療目的や重要性に応じ以下のように分類されます (Ref):
- Class A(低リスク): 患者の臨床データを直接解釈・処置せず、医療判断に影響を与えないもの(例: 過去データの統計分析ソフト) (Ref)。
- Class B(中低リスク): 患者のパラメータをリアルタイムで提示するが、診断や治療判断には用いられないもの(例: 家庭用心電図モニタリングソフト) (Ref)。
- Class C(中高リスク): 疾病の診断を支援したり、生体データを直接解析して臨床判断に寄与するもの(例: 病変画像解析ソフト) (Ref)。
- Class D(高リスク): 患者に極めて高いリスクを及ぼし得るもの。ただし現時点でCDSCOが該当すると認識しているSaMDはない (Ref)。
現在インドではSaMDでClass Dに相当するもの(例えば生命維持制御をソフトのみで行うようなケース)は想定されていないため、実質的なソフトの最高リスクはCとなっています (Ref)。これらのクラスに分類されたソフトウェアは、それぞれ対応する通常医療機器と同等の登録・承認プロセス(前述)が適用されます (Ref)。たとえば、ある診断補助ソフトがClass Cと判定されればCDSCO中央への申請が必要で、Class B相当なら州当局での手続きとなります。
サイバーセキュリティ要件:
インドには医療機器向けの独自サイバーセキュリティ規制はまだ整備されていません。しかし、CDSCOは国際的なサイバーセキュリティ標準を積極的に参照しています。前述のSaMDガイドラインでは、製品が順守すべき国際規格としてIEC 81001-5-1(医療機器のサイバーセキュリティ要求事項) が明示されています (Ref)。これは、医療機器ソフトウェア開発時にサイバーセキュリティを組み込むべきこと、具体的には脆弱性管理やアクセス制御、データ保護の措置を講じることを意味します。また、インド全体では2023年にデジタル個人データ保護法が成立(旧2019年法案より発展)し、患者データの扱いが厳格化されました (Ref)。医療機器ソフトウェアが扱う個人データはこの法律の規制下にあり、不適切な取り扱いがあれば法的制裁の対象となります。CDSCO自体は現時点で医療機器サイバーセキュリティに関する詳細ガイダンスを出していませんが、製品審査ではリスクマネジメントの一環としてITセキュリティ上のリスク評価が含まれます。メーカーにはIEC 62304(ソフトウェアライフサイクル)に沿った開発プロセスの中でセキュリティも考慮すること、製品には未承認アクセスの防止策を実装することが求められます。市販後についても、当局はサイバー脆弱性による不具合報告を収集し対応を指導する姿勢です。要約すると、インドでは法律・規格面でサイバーセキュリティ要求が間接的に存在し、メーカーは国際標準を参考に自主的に対策を講じる必要があります。
UDI(機器識別):
インドはUnique Device Identification (UDI)制度をまだ導入していません。Medical Devices Rules, 2017や付随する通知にはUDIに関する規定はなく、医療機器には通常のラベリング要件(製品名、製造業者名、製造番号、使用期限など)が課せられるのみです (Ref)。したがって現状、インド市場向けにUDIバーコードやデータベース登録を行う必要はありません。ただし国際的にはUDI導入が進んでおり、インド当局もIMDRFでのUDIガイドライン議論に参加しています。将来的にインドでもUDI制度が検討される可能性は否定できません。実際、インド規制当局幹部がUDIの有用性について言及したとの報道もありますが、公式決定には至っていません。現段階では、企業は各デバイスにインド独自の登録番号を取得し(製造販売許可番号がそれに当たる)、それをもってトレーサビリティに代える形です。なお、医療機器データベース「India Medical Device Registry」が構築中との情報もあり、UDI相当の識別情報管理が将来的に導入される際には、そのデータベースと連携する形になるでしょう。
相互認証・規格の採用:
インドの医療機器規制は国際標準規格の採用が顕著です。品質マネジメントシステム(QMS)はISO 13485:2016の認証取得が必須で、製造業許可や輸入許可の前提条件となっています (Ref)。さらにリスクマネジメントプロセスはISO 14971:2019に準拠すること、ソフトウェア開発にはIEC 62304、医用電気機器の安全規格IEC 60601シリーズ(該当する場合)など、多数の国際IEC/ISO規格への適合が要求されます (Ref)。CDSCOのガイダンス文書でも、これら規格への適合宣言を技術文書に含めるよう推奨しています (Ref)。書類面では、IMDRFのSTED(Summary Technical Documentation)に類似した「Device Master File / Plant Master File」の提出を義務付けており (Ref)、これは国際標準化された申請資料体系と言えます。臨床評価についてもEUのCERに相当する文書提出を要求します (Ref)。インドはIMDRFには正式加盟していませんが、Observing Member(オブザーバー)として会合に参加して知見を取り入れています。また、アジアのGHWP(旧AHWP)でも積極的に活動しています。総じて、インドの規制は国際規格への適合を軸に構築されており、自国独自の技術標準を強要するものではありません。
他国法規制との関係:
インドは自国の市場保護よりもむしろ海外の承認や監督制度を活用して自国規制を補完する姿勢が見られます。一つの例が製造施設の査察です。CDSCOはクラスC/D機器の輸入許可時に製造元への適合性査察を行う権限がありますが、実際には他国の規制当局(例えば米FDAや欧州当局)の最近の査察結果を認め、これをもって自国査察を省略できるとしています (Ref)。これは審査リソースの効率化と国際協力の表れです。また、申請にあたっては原産国または主要市場での販売許可証(Free Sale Certificate)や製造業許可証の提出が必要となります (Ref)。例えば日本や欧州で先に認証を取っている場合、その証明書を添付することでインドでの承認取得に役立ちます。もっとも、インドは他国の承認が無くとも独自審査で承認しますので、相互承認協定は存在しません。ただし国産医療機器の育成にも力を入れており、Make in India政策の下、特定の状況では輸入品より国産品を優先する調達方針等も見られます。さらにインドは米国や日本との対話を進め、将来的な審査協力を模索しています。まとめれば、インドは国際的な審査報告や規制情報を自国制度に取り込みつつ、自国の公衆衛生ニーズに応じて規制の独自運用も行っていると言えます。医療ソフトウェア分野では今後、各国のAI規制動向なども参照しながら国内法改正が進むでしょう。
シンガポール (Singapore)
認証プロセス:
シンガポールでは 医療製品法(Health Products Act) の下、医療機器はリスクベースで4クラス(A~D)に分類され、それに応じた登録プロセスが適用されます。 クラスA(低リスク) 機器は届出のみで販売可能(正式な製品登録は不要)ですが、HSAのデータベースにリストする必要があります (Ref)。 クラスB(中リスク) 機器はHSAへの製品登録申請が必要ですが、提出要件は比較的簡略です。 クラスCおよびD(高リスク) 機器は詳細な技術文書と試験データを添えて登録申請し、HSAの科学審査官による厳密な審査を経て承認されます (Ref)。HSAはまた、他国で承認済みの機器に対する簡略・迅速審査ルートを設けています。具体的には、製品がアメリカFDA、EU CE、オーストラリアTGA、日本PMDA、カナダHealth Canadaのいずれかで承認を取得している場合、シンガポールでの申請時にその証拠を提出することで「abridged evaluation(簡略審査)」が適用されます (Ref)。この場合、HSAは国外の審査結果を参考に自国での評価項目を一部省略し、審査期間を短縮します。高リスク機器で複数の主要市場承認がある場合には「迅速審査(fast track)」の対象にもなり得ます。なお、シンガポールは医療機器の技術文書について ASEAN共通提出資料(CSDT) 形式を採用しており、申請者はEssential Principles適合チェックリストや宣言書、試験レポート、臨床評価書などをCSDTフォーマットで提出します (Ref)。このCSDTはIMDRFのToCとも対応しているため、グローバル企業にとって負担が軽減されています。ソフトウェア医療機器もこの登録プロセスに従います。HSAは2024年3月に「ソフトウェア医療機器–ライフサイクルアプローチに関する指針(第3版)」を発出し (Ref)、開発から市販後まで一貫した規制管理の枠組みを提示しました。そこでは、 ソフトウェアの変更管理 について、アルゴリズム変更や新機能追加など重要な変更はHSAへの事前届出・承認を要すること(クラスBはNotification届出、クラスC/DはTechnical通知) (Ref)、一方で軽微なバグ修正等は定期報告で足りる旨が示されています (Ref)。このようにシンガポールではリスクに見合った柔軟な審査プロセスが運用され、革新的医療ソフトも円滑に市場導入できる体制を整えています。
規制機関:
シンガポールの医療機器規制を担うのは 保健科学庁(HSA: Health Sciences Authority) です。HSAは保健省(MOH)下の機関で、医薬品・医療機器・血液製剤など広くヘルスプロダクトの規制を行います。医療機器部門は製品登録(プリマーケット審査)、業者ライセンス発行(製造業・販売業の許可)、市販後監視を一貫して担当しています (Ref)。HSAは人員規模こそ欧米当局ほど大きくありませんが、審査科学では先進的で、AI医療機器やデジタルヘルスに関する独自ガイドライン策定も積極的です。2022年にはシンガポールが議長国となってIMDRF会合を主催するなど、国際的にも存在感を示しています。HSAにはさらに サイバーセキュリティ庁(CSA) や保健省IT部門(Synapxe)との連携プログラムがあり、近年では共同で医療機器のサイバーセキュリティラベリング制度を開始しました (Ref)(詳細後述)。規制機関としてHSAはアジアでも信頼性が高く、近隣国がHSA承認を承認要件の一つとして挙げる例もあります (Ref)。
クラス分類:
シンガポールは クラスA(最低リスク)からクラスD(最高リスク)までの4段階 の分類を採用しています (Ref)。この分類は欧州やASEANと同様で、侵襲性や患者への影響度合いなどに基づき決定されます。例えば単純な体外診断キットはクラスA、一般的なソフトウェア付属品や看護用具はクラスB、人工心肺装置など生命維持関連はクラスDといった具合です。ソフトウェア医療機器の場合も、患者状態をモニタするだけのアプリはクラスB、診断を補助するAIソフトはクラスC、治療に直接指示を与えるような高度なものがあればクラスD、といった風に割り当てられます(具体例はHSAガイダンスで提示)。HSAの2024年指針では、全クラスにわたりソフトウェア医療機器を適切に管理するライフサイクルアプローチを説明しており (Ref)、あらゆるリスクレベルのソフト機器が規制枠内にあることが強調されています。シンガポールはASEAN加盟国として域内調和分類を受け入れており、クラス定義もASEAN共通ルールと一致しています (Ref)。
サイバーセキュリティ要件:
シンガポールは医療機器のサイバーセキュリティ規制において、アジア地域の先頭を走っています。HSAのガイダンスでは サイバーセキュリティをソフトウェア医療機器の重要要素 と位置付け、メーカーが講ずべき具体策を示しています (Ref)。例えば製品設計時にセキュアコーディングを実践すること、リリース前に脆弱性評価(ペネトレーションテスト等)を行うこと、インシデント対応計画を策定しサイバー攻撃やデータ侵害の際の手順を準備すること、ソフトウェア更新のプロセスを確立し定期的にセキュリティアップデートを提供すること等が盛り込まれています (Ref)。これらはIMDRFの「Principles and Practices for Medical Device Cybersecurity」に沿った内容であり、HSAの要求はIMDRF国際勧告と調和しています (Ref)。さらにシンガポールは2024年10月、世界初となる 医療機器向けサイバーセキュリティ・ラベリング制度 を開始しました (Ref)。これはCSA(サイバーセキュリティ庁)とHSAが共同で運営する任意制度で、医療機器(ソフトを含む)のセキュリティ水準を4段階で格付けしラベル表示するものです (Ref) (Ref)。たとえばレベル1は基本的なセキュリティ要件適合、レベル4は厳格な第三者評価を経た高度なセキュリティ、といった指標が示されます (Ref) (Ref)。この制度は消費者や医療機関がデバイス選定時にセキュリティ情報を得られるようにする狙いで、メーカーにとっては Security by Design を促すインセンティブとなります (Ref)。なお、シンガポール国内で医療機器を販売するには基本的にHSA登録が必要であり、その際 HSA自身のサイバーセキュリティ要件を満たす ことが前提です (Ref)。実質、メーカーはサイバーセキュリティ計画書やテスト報告書などを用意し、審査で求められれば提出します。HSAはまたAIを搭載した医療ソフトウェアに関して、機械学習アルゴリズムのバリデーションや性能劣化の検知・更新プロセスにも言及しており (Ref)、広い意味でのソフトウェア信頼性確保(Trustworthy AI含む)を規制の一部としています。
UDI(機器識別):
シンガポールはUDI制度を段階的に導入中です。HSAは2021年にUDI規則のガイダンス最終版を発出し、医療機器およびIVDについてクラス別に猶予期間を定めました (Ref) (Ref)。そのタイムラインによれば、まず特定のインプラント(冠動脈ステント、人工関節、眼内レンズ)は2022年11月からUDI表示を開始し、次にクラスD一般医療機器・IVDは2024年11月までにUDIが必要となります (Ref)。続いてクラスCは2026年11月まで、クラスBは2028年11月までにUDI表示を義務化し、クラスAは表示任意とする計画です (Ref) (Ref)。このスケジュールに従い、2024年11月以降シンガポールで販売される高リスク機器(クラスD)にはデバイス識別子(DI)と生産識別子(PI)からなるUDIコードの表示・データベース登録が求められます (Ref)。医療ソフトウェアも対象クラスであればUDIを取得し、電子的に表示(例えばソフトウェアの初期画面や配布媒体に表示)する必要があります。UDI情報はHSAのUDIデータベース(Singapore UDI Database)に登録され、製品リコールや市販後監視に活用されます。シンガポールのUDI制度はIMDRFのガイダンスおよびUS/EUのルールと調和しており、使用するUDIコード体系はGS1など国際発行機関のものです。なお、治験用機器や特注機器にはUDIは要求されません (Ref)。シンガポールがUDIを導入したことで、アジアでは韓国・中国に次ぐ実施国となり、ASEAN域内でも先進的な例となっています。
相互認証・規格の採用:
シンガポールは規制枠組みにおいて国際規格の採用と他国承認の活用を積極的に行っています。申請時の技術文書はASEAN CSDT形式が義務で、これはIMDRFのコモンToCドキュメントと対応しているため、欧米向け書類を再利用しやすくなっています (Ref)。品質システムについてはISO 13485認証取得が必須であり、製造元はISO 13485適合証明書を提出しなければなりません (Ref)。製品の基本要件(Essential Principles)はGHTFモデルを踏襲し、電気安全IEC 60601シリーズ、ソフトウェアプロセスIEC 62304、リスクマネジメントISO 14971、ユーザビリティIEC 62366など主要規格への適合が要求事項に含まれます。HSAはIMDRF加盟当局(正式メンバー)であり、最新の国際ガイドライン(例えば臨床評価のIMDRFガイド、UDIガイド、AI医療機器の議論など)を迅速に取り入れています。実際、HSAが2022年に出したAI医療機器ガイダンスはIMDRFのNWIPを先取りした内容でしたし、2024年版ソフトウェア指針ではIMDRFの最新版用語・概念が使われています。さらに他国承認の活用では、上述の簡略審査(abridged)制度が象徴的です (Ref)。HSAはUS FDAや欧州CE等を「Reference Agencies」として指定し、それらで承認実績のある機器は審査項目を減らして速やかに承認する仕組みです。例えば米国・EUで発売中のクラスC/D機器であれば、一部性能試験データの提出を省略でき、審査期間短縮が可能です。シンガポール自身が小規模市場であることもあり、他国の審査結果に信頼を置きつつ自国審査を最小限に留める戦略でもあります。この他、HSAはカナダやオーストラリア、日本とも規制協力対話を行い、コロナ禍では他国の緊急使用承認を参考にシンガポールでの臨時承認を出すなどの対応も見られました。
他国法規制との関係:
シンガポールの医療機器規制は、国際整合性が非常に高く、周辺国や世界の規制環境と調和しています。HSA承認は海外から見ても質が高いと評価されており、例えばタイ当局はHSA承認品を自国の迅速審査対象に含めています (Ref)。またシンガポールはASEAN医療機器指令の実施においてリーダーシップを発揮し、域内共通制度の早期導入に成功しました。このため、マレーシアやタイ、インドネシアなどと基本的な枠組みを共有しています。さらにHSAは国際規制当局間のネットワーク(IMDRFやAHWP改めGHWP)で積極的な役割を担い、他国に自らの知見を提供する立場にもあります。例えば、東南アジア諸国が医療機器制度を整備する際、シンガポールHSAの職員が技術支援を行った例もあります。シンガポール国内企業にとっても、HSA承認を取得すれば他国市場に参入しやすくなるという利点があります。もっとも、シンガポール単独で他国承認を自動的に認める「相互承認協定」は現在存在しません。しかし、オーストラリアのTGAや英国MHRAとは覚書を交わし、審査協力を模索しています。総じてシンガポールは他国規制の動向に素早く適応し、自国制度をアップデートし続けており、医療ソフトウェア分野でも国際議論の最前線にあります。
インドネシア (Indonesia)
認証プロセス:
インドネシアでは全ての医療機器(IVD含む)について販売前に保健省からの承認(登録番号取得)が必要です (Ref)。製品はクラスA~Dに分類され、クラスごとに登録手続きの所要期間や審査方法が異なります (Ref)。ただし、基本的にはどのクラスでも保健省への申請と許可(マーケティングライセンス)取得が必要な点は共通しています。具体的には、 クラスA(低リスク) 機器は提出書類も簡易で、平均15営業日程度で登録番号が発行されます (Ref)。 クラスBおよびクラスC(中程度リスク) 機器は審査に約30日を要し、 クラスD(高リスク) 機器は約45日間の審査期間が見込まれています (Ref)。申請手数料もクラスにより異なり、クラスA:約1,500,000ルピア、クラスD:約5,000,000ルピアなどと定められています (Ref)。申請者はインドネシアに拠点を持つ 登録業者(ローカルエージェント) である必要があり、海外メーカーは現地代理店や子会社を通じて申請を行います (Ref) (Ref)。提出すべき技術文書には、製品仕様、試験成績、リスク分析、臨床評価、製造工程フローチャート、宣言書類など多数の項目があります (Ref) (Ref)。特に重要なのは ISO 13485の適合証明書 と 原産国の自由販売証明(Free Sales Certificate) で、これらがないと登録申請は認められません (Ref) (Ref)。これはインドネシア当局が製造元の品質管理と海外での承認実績を重視しているためです。審査は主に書面審査ですが、必要に応じて製品テストや追加資料要求が行われます。承認されるとマーケティングライセンスが発行され、通常2~5年間有効です (Ref)(有効期間は製品カテゴリや許可状況により変動)。有効期限後は更新申請が必要です (Ref)。インドネシアには日本や欧米のような第三者認証機関制度はなく、保健省が一元的に登録番号を発行する仕組みです (Ref)。ソフトウェア医療機器も他機器と同様にこのプロセスに従います。現時点でインドネシア独自のSaMDガイダンスは公開されていませんが、規制当局はソフトウェアも医療目的であれば医療機器とみなし登録を要求すると公式見解で示しています。
規制機関:
インドネシアの医療機器規制は 保健省 (Ministry of Health; Kementerian Kesehatan) が所管しています (Ref)。保健省内に医療機器・家庭健康製品総局のような部署があり、ここが審査・登録番号発行、国内基準策定、市販後監視、GMP認証などを行います (Ref)。以前、医薬品食品管理庁(BPOM)が医療機器を所管するとの情報もありましたが、現在は保健省が中心です。規制の根拠は2017年の保健大臣令No.62/2017等で、医療機器の分類・許認可手続き・広告・販売管理などが定められています (Ref)。登録業務はオンラインシステム(ASKMEやNEW AMIRなど)で進められ、効率化が図られています。なお、インドネシアは島国で地域も広いため、市販後の監督は各州の保健局とも協力して行われます。ソフトウェア単体の規制については法令上特に区別されていません。つまりペン型の血糖測定器も診断用スマホアプリも、医療目的であれば「Alat Kesehatan」(医療機器)として同じフレームで扱われます。規制機関は今後デジタルヘルスの専門家を増員する必要があるとの指摘もあります。
クラス分類:
インドネシアはクラスA、B、C、Dの4区分のリスク分類をとっています (Ref)。これはASEAN医療機器指令(AMDD)に基づくもので、低リスクAから高リスクDまで段階づけられています (Ref)。クラス分類の判定基準はGHTFが提唱したルールと類似しており、侵襲性の有無、患者への接触時間、生命機能に与える影響などが考慮されます。例えば、一般的な医療ソフトウェアは患者に直接危害を及ぼす可能性が低いためクラスBもしくはCになることが多いですが、診断や治療決定に関与する高度なソフトであればクラスCまたはDになり得ます。もっとも、インドネシア固有の分類ガイドライン文書が無いため、実務上はASEAN共通の分類フローチャート等を参照しつつ、提出前に当局にクラス確認を行うケースもあります。クラスA機器はリスクが低いため書類審査も簡易で迅速に登録されます (Ref)。クラスD機器は審査官が慎重に評価し、必要に応じて国外の承認状況も確認します。インドネシア当局も他国同様ソフトウェアの規制強化に今後取り組むとみられますが、現行ではソフトウェア固有の分類基準はなく、ハード機器と同じ基準でリスク評価しています。
サイバーセキュリティ要件:
現時点でインドネシアには医療機器向けの明確なサイバーセキュリティ要件は設けられていません。医療機器規制の基本要件として「安全で有効であること」が求められるのみで、そこに情報セキュリティの具体的項目は盛り込まれていない状況です。ただし、メーカー側はISO 14971に基づくリスクマネジメントの中でサイバーリスクも評価・低減することが期待されます。例えばネットワーク接続型の医療機器を登録申請する場合、提出資料中のリスク分析書に「不正アクセス防止策を施している」「データは暗号化されている」等の記載を含めることが推奨されます。インドネシア政府全体ではデジタル分野の規制強化に動いており、2022年に個人データ保護法を成立させました。医療機器ソフトが患者個人情報を扱うなら、この法律に準拠する必要があります。保健省もゆくゆくは医療機器のサイバーセキュリティ指針を整備すると考えられますが、ASEAN域内に統一基準がまだ無いため様子見の段階かもしれません。まとめると、インドネシアではサイバーセキュリティはメーカーの自主的取り組みに委ねられているのが現状で、規制当局はISO規格遵守という間接的手段でそれを担保しています。
UDI(機器識別):
インドネシアではUDI制度は導入されていません(2025年現在)。医療機器には国内登録番号(通知番号)が付与されますが、これは各製品固有ではなく申請単位の許可番号です。UDIのように世界的に一意な識別コードを付けデータベース管理する仕組みはまだありません。ただし、インドネシアも将来的にUDIを検討する可能性があります。ASEAN各国の中にはマレーシアのようにUDI導入準備の動きが出ており、国際的なUDIの潮流が無視できなくなっています。現在は、製品のトレーサビリティはロット/シリアル番号と登録業者情報の組み合わせで担保されています。例えば不具合が起きた場合、当局は登録業者に該当ロットの流通情報提出を求め、回収措置を取ります。UDIがあればこれが迅速になるため、今後の規制強化ポイントとなるでしょう。なお、現地業界にもUDIに関する認知は広がりつつあり、一部ではGS1インドネシア等が医療分野でのUDI活用を啓蒙しています。とはいえ、公式なUDI義務はまだ存在しないことから、当面は各企業の自主対応に任されています。
相互認証・規格の採用:
インドネシアは国際規格の受容度が高く、また他国承認を重視する特徴があります。登録申請時に必要な書類を見ると、ISO 13485認証書の提出が必須で、これは製造元の品質システムが国際水準であることを証明するものです (Ref)。さらにFree Sales Certificate(FSC)(原産国または他国で自由に販売できることの証明)も要求され、これは海外での承認実績を示します (Ref)。これらから、インドネシア当局は自国審査にあたり他国の規制当局の判断を信頼し活用していることが伺えます。例えばCEマーキングやFDA承認があればFSCが取得できるため、その製品はインドネシアでも比較的承認されやすい傾向です。逆に言えば、海外でまだ承認例のない新規デバイスの場合、インドネシアでの承認取得は難易度が上がる可能性があります。国際規格についても、製品試験は基本的にISO/IEC標準に従って行われたものでなければ認められません。生物学的安全性ならISO 10993、電気安全性はIEC 60601シリーズ、といった具合です。ASEAN加盟国として他国と協調しており、ASEAN Medical Device Directiveのガイドラインや共通テクニカル文書様式(CSDT)も導入しています (Ref)。なおインドネシア独自規格として、国内で採用する場合は国家標準(SNI)の取得が必要なことがありますが、多くの場合SNIはISO規格を踏襲しています。総じて、インドネシアの規制は 「国際標準+他国承認の組み合わせ」 に支えられており、自国で一から標準開発をするよりも既存の信頼できる仕組みを利用する姿勢です。
他国法規制との関係:
インドネシアは人口2.7億を抱える大国ですが医療機器産業は未成熟なため、輸入医療機器に広く依存しています (Ref)。したがって他国の規制の影響を受けやすく、また他国承認への依存度も高いです。上述の通りFSC提出義務などにより 原産国の許可 がインドネシア市場参入の前提となるため、事実上、欧米や日本、中国で承認を取ってからでないとインドネシアでは売りにくいという構造があります (Ref)。これは国内消費者保護の観点からは合理的ですが、新技術の早期導入という点ではハードルになります。一方でインドネシア当局はASEAN地域の規制調和にもコミットしており、ASEAN内の情報交換・トレーニングを通じ自国制度を強化しています。AHWP/GHWPにも参加し、中国や韓国とも規制協力の対話を行っています。今後、例えばASEAN域内承認相互承認や、イスラム圏でのハラール機器承認の共有など、新たな多国間連携が出てくる可能性があります。インドネシア単独で見ると規制キャパシティに限りがあるため、他国の助けを借りながら国内の安全を確保するという方針が鮮明です。医療ソフトウェアにおいても、米国FDAや欧州MDRで安全性が確認されたソフトならインドネシアでも受け入れるが、そうでないものは慎重になる、という態度が推測できます。これは一種の慎重策ですが、市場アクセスには海外承認取得がカギとなるという意味で、他国規制との連動性が極めて高いと言えるでしょう。
マレーシア (Malaysia)
認証プロセス:
マレーシアは2012年医療機器法(Act 737)により医療機器の包括的規制制度を整え、2013年から施行しました。 医療機器庁(MDA) が製品登録と業者ライセンスを管轄しており、すべての医療機器(ソフトウェア含む)はクラスA~Dに応じMDAに登録しなければ販売できません (Ref)。登録申請はオンラインシステム(MeDC@St)経由で行い、 現地の認定代理人(Authorized Representative) が申請者となります (Ref)。認証プロセスの特徴として、マレーシアは 特定の参照国で承認済みの製品に対して簡略化手続(abridged)を認めている 点があります (Ref)。参照国とは米国(FDA)、欧州(EU CE)、オーストラリア(TGA)、日本(PMDA/MHLW)、カナダ(Health Canada)で、これらで承認・認証を取得している場合、提出書類を簡略化した「abridged application」とすることができます (Ref)。この際、各参照国の承認証明、試験成績、そして マレーシア独自要求であるEssential Principles適合チェックリスト (Ref)、マレーシア版適合宣言(DoC)などを含む簡略技術ファイルを作成します (Ref)。さらにマレーシアでは 適合性評価機関(CAB) 制度があり、クラスB~Dの申請ではまず民間のCAB(MDAに認証された第三者機関)が提出技術文書の審査とQMS監査を行います (Ref)。CABが適合と判断するとVerification Certificateを発行し、そのレポートとともにMDA本体に提出します (Ref)。MDAは書類に不備がなければ審査を経て登録を承認し、製品に登録番号を付与します (Ref)。MDA審査中に追加資料要求がある場合、申請者は90日以内に応答する必要があります (Ref)。最終的に承認されると、当該製品はマレーシア市場で販売可能となります(承認証は5年ごと更新)。なお クラスA(低リスク・非滅菌)の機器はCAB審査を要さず自己宣言で登録可能 とされていますが、基本的には全クラス登録が必要です。ソフトウェア医療機器もハード機器と同じ流れで登録します。例えばモバイル診断アプリをクラスBとして登録する場合、ISO13485認証書や臨床評価報告書などを揃えCABに技術文書審査を依頼し、その後MDAに提出という手順になります。
規制機関:
マレーシアの 医療機器庁(MDA: Medical Device Authority) が規制当局です (Ref)。MDAは保健省下の法定機関で、医療機器法Act 737および関連規則に基づき、医療機器の登録、コンフォーマンス評価、輸出入許可、流通業者のライセンス発行、市販後監視(不具合報告の受付、フィールド・アクション管理)などを行っています。MDA自体は審査リソースを補完するため、前述の CAB(Conformity Assessment Body) 制度を活用しています。CABには試験所や認証機関が指定されており、例えばTÜVやSGS、BSI等がマレーシアCABとして活動しています。彼らが技術文書・品質システムを評価し、その結果を尊重してMDAが最終判断を下す二段構えです (Ref)。MDAはまた中国NMPAやシンガポールHSAなど他国当局とMoUを結び、規制協力を図っています (Ref)。特筆すべきは、2025年1月にMDAと中国NMPAが締結した相互市場アクセス支援協定で、これにより中国承認品の迅速なマレーシア登録と、マレーシア承認品の中国迅速登録が実現する見通しです (Ref) (Ref)。MDAはASEAN医療機器調和の議長国も務めた経緯があり、地域の規制調整にも中心的役割を果たしています。ソフトウェア規制に関しては専門部署はありませんが、一般の医療機器審査官がIMDRFやシンガポールHSAのガイダンスを参考にレビューを行っていると思われます。
クラス分類:
マレーシアも クラスA(低リスク)~クラスD(高リスク) の4段階分類を採用しています (Ref)。これは欧州と同様で、侵襲性や患者への影響度で判断されます。例えば、病理診断支援ソフトウェアは患者への直接影響はないが診断精度に関わるためクラスBまたはC、治療計画に用いる放射線治療ソフトはクラスC、場合によってはDになるでしょう。マレーシアでは2015年に医療機器分類ガイダンスを発行しており、具体例を示しています。ソフトウェア単体も当然ながらこの分類の枠内で評価されます。医療機器規則2012(第2版)ではソフトウェアは医療機器定義に含まれると規定され、付属品も機器と見なされます。したがって、心電図解析ソフトはクラスIIa相当(マレーシアで言うクラスB)などと算定可能です。クラスA機器のみ、登録に際して自己宣言で完結しCAB審査は免除されます(ただしMDAへの届出は必要)。クラスB~DはCAB審査・MDA登録を経るため、実質的な審査の厳しさはクラスDが最も高くなります。
サイバーセキュリティ要件:
マレーシアでは現時点で医療機器のサイバーセキュリティに関する個別の規制・指針は公表されていません。しかし、MDAは基本要件(Essential Principles)において電磁両立性(EMC)やソフトウェアの検証・バリデーション、情報の正確性等を挙げており、その中で暗にサイバーセキュリティをカバーしています。たとえばEssential Principlesでは「機器は適切な設計・製造がなされ、想定されるリスク(電気的、安全性、データの整合性等)を最小化していること」と規定されます。メーカーはこれを満たすための方法として、IEC 60601-1の第14章(プログラマブル電子医療機器の保護)やIEC 62304、さらには近年のIEC 81001-5-1等の実践を選択できます。MDAへの提出資料であるEssential Principles適合チェックリストには、該当する各原則に対しどのように適合したか(適用規格など)を書く必要があります (Ref)。したがって、サイバーセキュリティについてはメーカーが自主的に規格適合を宣言する形です。もっとも、周辺のシンガポールやIMDRFで動きがある以上、MDAも将来的にサイバーセキュリティガイドラインを策定する可能性があります。2025年のMDA会合ではサイバーセキュリティ対策強化が議題に上がったとの情報もあります。ただ今のところ、明文化された要件はなく、CABやMDAの審査官が提出文書中のセキュリティ関連記述をチェックするレベルに留まります。なお、マレーシアの医療機器にはeラベリング(電子的提供情報)制度も進んでおり、取扱説明書等をウェブ提供できます (Ref)。この延長線上でソフトウェアのセキュリティ更新情報提供などの仕組みも今後議論されるでしょう。
UDI(機器識別):
マレーシアでは2025年現在、UDI制度は未導入ですが、準備段階に入っています。MDAは2023年に医療機器業界を対象にUDIに関するパイロット調査を実施し、業者側の対応準備状況を確認しました (Ref)。また2025年1月のMDA年次カンファレンスではUDIや電子ラベル、ASEAN承認国拡大といったトピックが紹介され、UDI導入に向けたロードマップが議論されています (Ref)。具体的な義務化時期はまだ設定されていませんが、今後数年で高リスク機器から順にUDI表示を課す可能性があります。MDAはIMDRFのUDIガイダンスやシンガポールHSAの事例を参考に制度設計するとみられ、GS1などのコード体系を採用する見通しです。現在、医療機器にはマレーシア独自の登録番号が付与されていますが、これはUDIではなく国内管理番号です。UDIが導入されれば、この登録番号とUDIをひも付けて管理することになるでしょう。国際的にはUDIはトレーサビリティ向上のみならず医療機器データベース構築にも資するため、マレーシアも導入のメリットが大きいと考えています。現状ではUDI表示義務はないため、メーカーは将来に備えつつ現行法に従った表示(製品名、住所、ロット等)を行えば足ります。
相互認証・規格の採用:
マレーシアの規制は国際規格の受容と他国承認の活用を特徴とします。品質マネジメントはISO 13485準拠が必須で、マレーシア独自のGMPを別途要求することはありません (Ref)。提出技術文書もASEAN CSDTを採用し、IMDRF ToCとマッピング可能な構成になっています (Ref)。またEssential Principles(基本原則)はGHTF原則そのもので、各種試験規格もISO/IECベースを要件としています。他国承認の活用については、前述の参照国制度が顕著です (Ref)。米・EU・日・加・豪という5つの主要規制当局で承認・認証を得ている場合、技術文書審査や工場審査の負担が大きく軽減されます (Ref)。具体的には、これら参照国の一つでも承認があれば「abridged application」として、例えばフルテスト結果の一部提出を省略できたり、臨床評価については海外承認時のものを流用できたりします (Ref)。これは参照国の規制基準をマレーシアが信頼していることを意味します。同時に、自国で重複審査しないことで審査効率を上げ、海外の最新医療機器を早期に国内導入する狙いもあります。さらに最近では中国を新たな参照国とする動きが出ました。2025年のMDA-NMPA協定により、中国NMPA承認のクラスC/D機器はマレーシアで書類審査のみで1~2ヶ月以内に登録完了とする試行が予定されています (Ref) (Ref)。また逆にマレーシア承認のクラスB機器は中国で迅速承認される仕組みも構築中です (Ref)。これは二国間協力の例ですが、将来的には他のASEAN諸国とも同様の取り組みがあり得ます。MDAはすでにシンガポール・タイ・インドネシアなどASEAN各国の承認も一部参考にし始めており(例えばASEAN内追加参照国の検討 (Ref))、地域内相互承認に前向きです。以上のように、マレーシアは国際標準に準拠しつつ、他国の審査結果を最大限活用することで、自国の規制を効率かつ高度に維持しています。
他国法規制との関係:
マレーシアの医療機器規制はASEANでも洗練されている部類であり、他国規制との親和性が高いです。実際、マレーシアMDAは欧米のみならず中国とも連携を深めており (Ref)、これはアジアの中で他国承認を相互に認め合う先駆けとなる可能性があります。日本のPMDAとも情報交換を行っており、GLPやGCPの分野で協力しています。さらにGHWP(グローバル調和作業部会、旧AHWP)の議長国(2022-2024年)を務め、国際的ルールメイキングにも関与しています。つまりマレーシアは他国の規制を取り込みつつ、自らも国際ルール形成に参加する積極的な姿勢です。医療ソフトウェアについていえば、シンガポールHSAのガイダンスを参考に審査が行われている節があります。例えばAIを用いた診断ソフトの審査で、HSAのAIガイドラインを参照した質問がなされるといった事例があります。将来的にマレーシア独自のSaMDガイドラインも発行される可能性がありますが、その際もシンガポールやIMDRF文書がベースになるでしょう。MDAと他国当局との協力強化は、審査ワークシェアリングや研修交流などの面でも進んでいます。欧州MDR/IVDRへの対応も進めており、EUのNotified Bodyとの連携も模索されています。総括すると、マレーシアは他国規制を友好的に受け入れる開放的な規制環境を築いており、それが医療機器ソフトウェアの迅速な普及にも寄与しています。
ベトナム (Vietnam)
認証プロセス:
ベトナムは2022年1月施行の政令98/2021/ND-CPにより医療機器規制の新体制に移行しました (Ref)。同政令に基づき、医療機器(IVD含む)はクラスA~Dに分類され、クラスAおよびB機器は地方保健局への 届出(公告) を行うことで販売可能となり、 クラスCおよびD 機器は保健省への 製品登録 (マーケティングオーソライズ)申請が必要です (Ref) (Ref)。承認(登録番号)の有効期限は無期限となっており、一度取得すれば更新不要になりました (Ref) (Ref)。ただし、2023年の政令07/2023で経過措置が調整され、旧制度での一時的輸入ライセンスが2024年末まで延長利用可能になるなど移行が円滑化されています (Ref)。申請にはASEAN共通のCSDTフォーマットの技術文書提出が2022年以降必須となり (Ref)、安全性能基本要件適合性、臨床評価、リスク分析、QMS証明(ISO13485)、原産国承認証(CFS)などを含む資料一式を用意します。クラスC/Dの場合、中央保健省の専門部署である 医療設備管理局(IMDA) が審査を行い、問題なければマーケティング認可コード(登録番号)を発行します (Ref) (Ref)。クラスA/Bは地方の保健局が書類を受理・記録し、その旨を公告するのみで個別審査は基本ありません (Ref)。重要な点として、政令98の 第3条で「医療機器に使用されるソフトウェア」に関する規定 があり、 それによるとソフトウェア単体は医療機器の分類・登録番号付与・販売適格性の対象から除外 されています (Ref)。簡潔に言えば、 ベトナムでは医療機器ソフトウェア単体は現行制度では登録不要 という扱いです (Ref)。APACMedのベトナムチームQ&Aでも「ソフトは登録不要」と確認されています ()。したがって、ハードウェアに組み込まれたソフトはそのハードの一部として規制されますが、スタンドアロンの医療目的ソフトは2025年現在、届け出や承認を要しません。この点は他国と大きく異なります。なお、政令98では製品登録番号が無期限となったため、以前のような数年ごとの更新申請は無くなりました (Ref)。ただし、登録後も上市前に販売用量産品のサンプル提出が必要であるなど独自の運用もあります。また、ベトナム語での製品ラベリングが義務付けられており、添付文書やソフト画面表示の言語要件にも注意が必要です ()。総じて、ベトナムの医療機器承認プロセスはASEAN標準に沿いつつ、ソフト単体の扱いなど独自要素も含む形となっています。
規制機関:
ベトナムの医療機器規制当局は 保健省(MOH) です。その下部組織として 医療機器・建設局 (Infrastructure and Medical Device Administration, IMDA) が専門部署となり、医療機器の基準策定、クラスC/Dの登録番号発行、価格管理、広告内容確認、市販後監視などを行います (Ref) (Ref)。クラスA/B届出の処理は各省・市の保健局(Department of Health)が担当し、その結果をIMDAにも報告します (Ref)。IMDAは政令07/2023で改組された新しい部署で、従来の医療設備・建設局の機能を引き継いでいます。ベトナムの規制体制は頻繁に変更されており、以前は輸入ライセンス制度が毎年必要でしたが政令98で一新されました (Ref)。現在は、登録番号(Marketing Authorization)が中央から発行されれば輸入も自由化されます。ソフトウェア単体については法令で登録不要とされているため、IMDAも積極的な関与はしていません。ただし、今後ソフト規制の必要性が高まればIMDAが指導役となるでしょう。なお、ベトナムは2022年にGHWPにオブザーバー参加を開始し、他国規制当局と連携を強めつつあります。
クラス分類:
ベトナムもクラスA~Dの4段階リスク分類を採用しています (Ref)。これはASEAN調和分類そのままで、具体的なルールも欧州MDD/MDRに類似しています。例えば、クラスAはほとんどリスクのない体外使用具や簡単な器具、クラスBは一部侵襲的だが短時間使用の機器、クラスCは長時間体内留置や危険な薬剤投与管理機器、クラスDは生命維持や高度侵襲機器、といった区分です。 ただし、前述のようにベトナムでは「ソフトウェアは医療機器の分類・登録の適用外」** となっています (Ref)。政令98第2章第3条1項(d)にその記載があり、解釈としては「スタンドアロンの医療機器ソフトウェアにはクラス分類を割り当てない」という意味です (Ref)。従って、たとえ高度な診断AIであっても、ハードを伴わないソフトのみの提供形態ならベトナムではクラス分類も登録もされません。一方、ハードウェアに組み込まれるファームウェアや制御ソフトは機器の一部として分類されます。例えばMRI装置に搭載の画像処理ソフトはMRI全体がクラスC/Dならその一部とみなされます。このようにソフト単体を除外する措置は、ベトナム当局が当面デジタル機器を規制対象から外し、重要機器の登録処理に注力する意図とも考えられます。現在クラスC/Dの登録番号発行には時間を要しており、まずはそちらの滞留解消が急務のためでしょう。なお、ベトナムでソフトを含む機器を販売する場合、クラスに応じローカルエージェントによる届出/申請が必要ですが、ソフト単体についてはそもそも不要なので自由に販売可能です。ただし薬事的な制約が無いだけで、医療データに関する法律(患者情報保護など)は別途遵守する必要があります。
サイバーセキュリティ要件:
ベトナムでは医療機器に特化したサイバーセキュリティ規制は存在していません。政令98および関連通達に、情報セキュリティやサイバーリスクへの直接的言及は見られません。医療機器の基本要件としては「安全かつ効果的であること」が求められるのみです。ただ、ヘルスケア全般のICT化に伴い、保健省も病院ITシステムのセキュリティ基準などを別途策定しています。医療機器ソフト自体が規制対象外という状況もあり、現時点で当局がサイバーセキュリティの観点で関与する場面は限られます。しかし、例えば遠隔医療システムや病院連携機器はサイバー攻撃リスクがあるため、導入施設側でのセキュリティ要件適合が求められるでしょう。ベトナム政府は2015年にサイバー情報安全法を施行し、全産業でのサイバーセキュリティ強化を推進しています。医療機関向けには情報セキュリティレベルを定義し、医療デバイスからのデータ送信も保護するよう指針を出しています。例えば、患者データを扱う機器は国内のサーバを使用すること、暗号化すること等の勧告があります。また、個人情報保護に関する法案も審議中です。要するに、医療機器ソフトそのものへの規制要件は無いが、周辺のIT法規で間接的にセキュリティ確保が図られている状況です。今後、もしベトナムがソフト単体を医療機器として規制するようになれば、サイバーセキュリティ要件も国際標準に合わせて導入される可能性が高いでしょう。
UDI(機器識別):
ベトナムにはUDI制度は導入されていません。医療機器には保健省が発行する登録番号(自由販売承認番号)が付与されますが、これはUDIではなく国内固有の番号です。UDIのようなグローバル一意識別子を用いる仕組みは公式には存在しません。製品トレーサビリティは各製品の登録番号と、輸入業者が保管する流通記録によって賄われています。例えば不具合が発生した際、当局はその登録番号の機器を輸入した業者に連絡し、回収措置を指示します。このプロセスはUDIが無くても機能していますが、効率や精度の面では課題があります。現状、ベトナム当局からUDI導入の検討が公表されたことはありません。ただし、UDIはIMDRFが推奨し各国で普及しているため、将来的にASEANの議論に合わせて導入を検討する可能性は否定できません。ASEAN医療機器委員会でUDIの共通枠組みが議論される局面になれば、ベトナムも追随するでしょう。もっとも、それはクラスC/Dの登録制度が安定稼働してからの話になると思われます。したがって、現時点でベトナムではUDI対応は不要であり、各機器には通常のラベル(製品名、製造業者、製造番号等)のみ要求されています。
相互認証・規格の採用:
ベトナムはASEANの一員として 国際規格や地域共通制度の採用 を進めています。政令98では ASEAN共通提出テンプレート(CSDT) での申請が義務化され (Ref)、これにより提出資料の標準化が図られました。品質マネジメントもISO13485認証取得が事実上要求され、原産国証明も必要なため、 他国の規制基準を参照する体制 です。さらに政令98の目玉として、 クラスC/D機器に対する迅速審査制度(fast-track approval)が導入 されました (Ref) (Ref)。具体的には、以下の当局から承認を受けた医療機器は迅速審査の対象となります (Ref): 米国FDA、オーストラリアTGA、カナダHealth Canada、日本PMDA/厚生労働省、EU加盟国当局、英国MHRA、スイス当局、中国NMPA、韓国MFDS、その他ベトナムが承認を認める機関 (Ref)。このリストからも分かるように、 主要な規制先進国(さらには韓国・中国)の承認を広く認めている のが特徴です (Ref)。迅速審査では、通常より短期間で登録番号が発行されるか、あるいは提出資料の一部簡略が可能になるとされています(具体的運用は通知で規定)。いずれにせよ、ベトナム当局は 他国の審査・承認を大いに信頼し活用している ことになります。国際規格の採用も同様で、IEC 60601シリーズやISO 10993、IEC 62304などへの適合宣言が求められ、国内独自試験は要求されません。臨床評価も原則として海外データを使用できます。これらから、ベトナムは規制リソースの限界を補うために 規制エコシステムを国際社会と共有 する戦略といえます。
他国法規制との関係:
ベトナムの医療機器市場は輸入依存度が90%超と非常に高く (Ref)、自国で全てを審査することは難しいのが実情です。そのため、他国の規制結果を前提に自国承認を与える枠組みが整えられています(上述の迅速審査制度)。これはメーカーにとってもありがたく、例えばすでに米国FDA承認を得ているならベトナムでの登録が容易になるメリットがあります。結果として、ベトナム市場に出回る医療機器の多くは欧米や近隣先進国で承認済みのものとなり、品質・安全性が担保されやすくなっています。一方、革新的でまだ海外でも未承認の技術については、ベトナム当局は慎重で、登録が難しい場合があります(そもそもソフト単体は規制外ですが、ハードを伴う新技術は海外承認が無いと受け付けてもらえない可能性があります)。またベトナムは法整備が流動的で、欧州MDRや中国・韓国の動向を見ながら調整を行っています。政令98施行後も頻繁に通達が改定されており、例えば国内滅菌業者認証や価格申告制度など、他国に類似する新ルールが随時追加されています。これは他国規制を参考にしている証左です。アセアン域内ではタイやマレーシアとも情報交換が行われ、ゆくゆくはASEANでの相互承認(例えばASEAN内1国承認で他国でも販売可)の構想もありますが、ベトナムがそれを受け入れるかは不透明です。現状ではまず自国制度の安定運用が課題であり、ソフトウェア規制に手が回っていないのもその表れです。とはいえ、デジタル医療の波は避けられず、近い将来ベトナムもソフト単体を規制対象に含めるでしょう。その際はIMDRFや近隣諸国の規制を参考にするはずで、他国規制との整合性が高いものになると考えられます。現在でも、例えば日本のクラス分類通知を引用する形で製品分類を決定しているケースもあるようです。まとめると、ベトナムは他国規制を強く意識し、自国市場への影響を鑑みつつ取り入れていると言えます。医療機器ソフトウェアに関しては、その規制開始自体が他国で実績が十分積まれた後になる可能性が高く、そうなれば最初から国際調和的なルールが導入されるでしょう。各国の規制当局との協力を深めている現在の方針は、将来のそのような制度変更に向けた布石とも考えられます。
参考資料:
- 【4】 RegDesk, “An Overview of South Korea and Their Medical Devices,” (2020) - 韓国MFDSの規制概要(クラス分類・UDI導入計画など) (Ref) (Ref)
- 【5】 RegDesk, 同上 - 韓国の承認プロセス詳細(クラスI届出、クラスII適合性認証、クラスIII/IV承認) (Ref)
- 【6】 APACMed, “South Korea Market Card – Digital Technologies” (2024) - 韓国のサイバーセキュリティ要件(IMDRF同等、ガイドライン有) ()
- 【9】 Pacific Bridge Medical, “Thailand Issues New Guidelines for Software as a Medical Device Registration” (July 2024) - タイのSaMD新ガイドライン(ソフト分類と提出資料、サイバーセキュリティ) (Ref) (Ref)
- 【11】【12】 Emergo by UL, “Medical Device Registration and Approval in Thailand” - タイの規制概要(ASEAN分類採用、クラス1-4、承認形態) (Ref)および他国承認の提出要件 (Ref)、シンガポール承認品の優遇 (Ref)
- 【17】 Freyr, “Regulation of SaMD in India” (Aug 2022) - インドCDSCOのSaMD分類ガイドライン(IMDRF調和、Class A-D定義) (Ref) (Ref)、要求される国際規格(IEC 81001-5-1等) (Ref)
- 【22】 Qualio, “Ref” (2023) - インドの承認プロセス詳細(クラスA-D手続、ISO13485必須、他国査察の活用) (Ref) (Ref)
- 【26】 RegDesk, “HSA Guidance on Life Cycle Approach for Software Medical Devices” (Jun 2024) - シンガポールHSAガイダンス概要(サイバーセキュリティ対策の詳細) (Ref)
- 【27】【28】 Emergo by UL, “Singapore HSA Finalizes UDI Requirements” (Aug 2021) - シンガポールUDI実施タイムライン(2022~2028段階施行) (Ref) (Ref)
- 【29】 MakroCare, “Singapore HSA Regulatory Guidelines for Software Medical Devices – A Life Cycle Approach” (Apr 2024) - シンガポールHSA第3版ガイダンス紹介(QMS ISO13485、ASEAN CSDT提出、重点項目) (Ref)
- 【31】 MakroCare, 同上 - シンガポールのソフト変更管理(クラスBは届出、C/DはTechnical通知必要な変更例) (Ref)
- 【32】 Cyber Security Agency of Singapore, プレスリリース「医療機器向けサイバーセキュリティラベリング制度の開始」(Oct 2024) - シンガポールのCLS(MD)発表(HSA要件はIMDRF調和) (Ref)
- 【38】【41】 Maven Profserv, “Medical Devices Registration in Indonesia” (2023) - インドネシア規制概要(クラスA-D分類、ISO13485証明とFSC必須書類) (Ref) (Ref)
- 【45】 Emergo by UL, “Malaysia MDA Announces Agreement with China NMPA” (Jan 2025) - マレーシアと中国の相互審査協定(中国承認品の迅速登録、マレーシア品の中国迅速承認) (Ref) (Ref)
- 【44】 Emergo by UL, “Medical Device Registration in Malaysia” (閲覧年不明) - マレーシア登録プロセス(参照国承認で簡略化、CABによる技術審査) (Ref) (Ref)
- 【43】 MDA (Malaysia)公式サイト, “Pilot Survey for UDI in Malaysia” (2023) - マレーシアのUDI導入に向けた調査告知 (Ref)
- 【47】 trade.gov, “Ref” (2022) - ベトナム政令98概要(クラスA/B地方届出、C/D中央登録、無期限、有効期限延長措置) (Ref)
- 【49】 Baker McKenzie, “Vietnam: New Decree on management of medical devices” (Jan 2022) - ベトナム政令98詳細(CSDT義務化、クラスC/D迅速承認の条件となる他国当局一覧) (Ref) (Ref)
- 【48】 APACMed, “Vietnam Guidance Document Q&A” (2022) - ベトナム政令98に関する質疑(ソフトウェアは登録不要との当局回答) (Ref)