株式会社renue
AI導入・DXの悩みをプロに相談してみませんか?
AIやDXに関する悩みがありましたら、お気軽にrenueの無料相談をご利用ください。 renueのAI支援実績、コンサルティングの方針や進め方をご紹介します。
ISO 14971とは:医療機器リスクマネジメントの国際標準
ISO 14971 は、医療機器(ソフトウェア単独機器 SaMD・体外診断用医療機器 IVD を含む)へのリスクマネジメントの適用を定めた国際標準です。2019 年 12 月に第 3 版として発行された ISO 14971:2019 が現行版で、用語・原則・プロセスの体系を示します。EU では EN ISO 14971:2019+A11:2021 が EU MDR 2017/745・IVDR 2017/746 の整合規格(harmonised standard)として Official Journal of the European Union(OJEU)に掲載され、FDA は AAMI/ANSI/ISO 14971:2019 を認定コンセンサス標準として採用しています。
日本は JIS T 14971:2020 として同等採用、中国は YY/T 0316-2016 を 2022 年 10 月に GB/T 42062-2022 へ格上げし 2023 年 11 月 1 日に施行しました。リスクマネジメントは ISO 13485 QMS、FDA QSR(2026-02-02 QMSR 移行)、EU MDR、MDSAP、MDR Annex I GSPR、ソフトウェア IEC 62304、ユーザビリティ IEC 62366-1、サイバーセキュリティの全てに縦断的に関わる中核プロセスです。本記事では ISO 14971:2019 の構造、A11:2021 改訂、ISO/TR 24971 ガイダンス、AFAP vs ALARP 議論、多地域受容状況、AI/ML 機器での適用を体系的に解説します。
ISO 14971の基本構造(7章)
第1章〜第3章:範囲・引用・用語
医療機器のライフサイクル全体に適用され、ISO 13485(QMS)と連携して運用されます。主要用語として「ハザード(hazard)」「危害(harm)」「リスク(risk)」「リスクコントロール(risk control)」「残存リスク(residual risk)」「ベネフィット(benefit)」を定義。
第4章:一般要求事項(General Requirements)
- リスクマネジメントプロセスの確立・実装・文書化
- トップマネジメントの責任
- 要員の力量
- リスクマネジメント計画(Risk Management Plan)の作成
- リスクマネジメントファイル(RMF)の維持
第5章:リスク分析(Risk Analysis)
- 意図的用途と合理的に予見可能な誤使用の明示
- 安全性に関する特性(Safety Characteristics)の同定
- ハザード(Hazard)と予見可能な事象シーケンスの同定
- 発生確率と重篤度によるリスク推定
第6章:リスク評価(Risk Evaluation)
各リスクがリスク許容基準を満たすかの判定。許容できない場合はリスクコントロール(第 7 章)に進みます。
第7章:リスクコントロール(Risk Control)
リスク低減措置を以下の優先順位で実施:
- 設計による本質的安全(Inherently Safe Design)
- 機器内または製造工程での保護措置(Protective Measures)
- 安全性情報(Information for Safety)と使用者訓練
第8章:残存リスクの全体評価(Overall Residual Risk Evaluation)
個別リスクだけでなく、すべての残存リスクを総合的に評価し、医療機器の総合的なベネフィットとの関係でリスク許容可能かを判定します。
第9章:リスクマネジメントレビュー
上市前のリスクマネジメント記録と活動の完全性を検証。トップマネジメントへのレビューを含みます。
第10章:生産と生産後の活動(Production and Post-production Activities)
市販後情報収集と製品情報フィードバックを通じたリスクマネジメントの継続。市販後調査(PMS)・苦情処理・MDR(Medical Device Reporting)等とリスクマネジメントを連動させる要求が 2019 年版で強化されました。
2019年版(第3版)での主要改訂点
- ベネフィット・リスク分析の強調(各段階で benefit-risk の明示要求)
- 生産・生産後活動の要件拡大
- 用語体系の整理(Hazard/Harm/Risk の区別)
- リスクマネジメント計画・ファイル文書化の要件強化
- ソフトウェア医療機器(SaMD)・IVD への明示的適用
- ヒューマンファクター・使用性(IEC 62366-1)との連携強化
- 最上位の許容基準定義責任の明確化
EN ISO 14971:2019/A11:2021改訂
CEN は 2021 年 12 月 8 日に EN ISO 14971:2019 の A11:2021 改訂を公表しました。技術内容に変更はなく、欧州特有の以下 2 つの Annex を追加:
- Annex ZA:EU MDR(2017/745) の要件と規格条項の対応表
- Annex ZB:EU IVDR(2017/746) の要件と規格条項の対応表
2022 年 5 月 11 日付で EN ISO 14971:2019+A11:2021 が MDR・IVDR の整合規格として Official Journal に掲載され、EU 市場向け医療機器の標準適合宣言では A11:2021 を明示した版への整合が求められます。
ISO/TR 24971:2020:ガイダンス文書
ISO/TR 24971:2020 は ISO 14971 の適用ガイダンスを示す技術報告書で、以下を解説:
- リスクマネジメント計画の具体例
- ハザード・予見可能な事象シーケンスの具体的整理
- 生体適合性・電気的安全・臨床リスクへの適用
- ソフトウェアのリスクマネジメント(IEC 62304 との連携)
- 使用性工学(IEC 62366-1 との連携)
- ベネフィット・リスク分析の手順
- 市販後情報の統合方法
AFAP vs ALARP:EU MDRとの緊張関係
ISO 14971:2019 はリスク低減を「合理的に実現可能な限り低減(ALARP, As Low As Reasonably Practicable)」と経済性考慮を含めた概念で規定しますが、EU MDR 2017/745 の General Safety and Performance Requirements(GSPR)は「可能な限り低減(AFAP, As Far As Possible)」と規定し、経済性は配慮の対象外とされています。
製造業者は EU 市場向けでは ALARP ではなく AFAP の観点でリスク低減を実施する必要があります。実務上は、以下で対応:
- 経済性を理由にしたリスク受容の判断を避ける
- 技術的に実現可能な全ての設計代替を検討
- Annex ZA の対応表を参照して GSPR の全要件をトレース
- ユーザビリティ・ヒューマンファクター観点での追加評価
FDAとの関係:QMSR 2026年2月発効との整合
FDA は 21 CFR Part 820 QSR を 2026 年 2 月 2 日発効の Quality Management System Regulation(QMSR)に改正し、ISO 13485:2016 を正式取り込みしました。ISO 13485:2016 第 4.1.2 はリスクベースアプローチの採用を要求しており、実装時に ISO 14971:2019 が事実上の標準として使用されます。
FDA は AAMI/ANSI/ISO 14971:2019 を認定コンセンサス標準としており、510(k)・PMA・De Novo 申請での適合宣言が可能です。2023 年 12 月 17 日以降、FDA は ANSI/AAMI/ISO 14971:2019 の A2:2020 まで含めた版への適合宣言を要求しています。
日本 PMDA との関係:JIS T 14971:2020
日本は JIS T 14971:2020 を ISO 14971:2019 の同等採用として発行。PMDA の QMS 適合性調査では JIS T 14971 への適合性が以下の観点で確認されます:
- リスクマネジメントプロセスの系統性
- QMS(ISO 13485 / QMS 省令)との統合
- 市販後情報フィードバック
- リスクマネジメントファイル(RMF)の完成度
- 重要な変更時のリスク再評価
中国 NMPA:GB/T 42062-2022 が 2023年11月施行
中国は 2022 年 10 月 12 日に ISO 14971:2019 を等同採用した GB/T 42062-2022を公布し、2023 年 11 月 1 日に施行しました。旧 YY/T 0316-2016(医療機器行業標準)から GB/T(国家推奨標準)への格上げにより、NMPA 査察で GB/T 42062 への適合が事実上の要件となっています。
リスクマネジメントファイル(RMF)の構成
- リスクマネジメント計画(計画、組織、スコープ、許容基準)
- 安全性関連特性リスト
- ハザード・予見可能な事象シーケンス・危害のマトリクス
- リスク推定(発生確率×重篤度)記録
- リスクコントロール措置の記録(優先順位付けと検証)
- 残存リスク評価(個別・全体)
- リスクマネジメントレポート(上市前)
- 市販後リスクマネジメント活動記録(PMS・苦情・MDR・定期レビュー)
AI/ML 医療機器への適用
AI/ML 搭載医療機器では ISO 14971 に以下の特殊リスクが加わります:
- 訓練データのバイアス(Data Bias)
- モデル一般化性能(Generalization)の限界
- モデルドリフト(Model Drift)による性能劣化
- 継続学習(Continuous Learning)による予期しない変化
- 敵対的入力(Adversarial Inputs)
- 説明可能性(Explainability)の不足による誤判断
- サイバーセキュリティ攻撃
FDA の PCCP(Predetermined Change Control Plan)、Good Machine Learning Practice(GMLP)原則(FDA・MHRA・Health Canada 共同、2021 年 10 月公表)、ISO/IEC 23894(AI リスクマネジメント)・ISO/IEC 42001(AI マネジメントシステム)と連携した統合的リスクマネジメントが必要です。
サイバーセキュリティとのリスク統合
FDA は 2025 年 6 月 27 日以降、サイバーセキュリティ関連の新ガイダンスに基づき、510(k) 提出時に Secure Product Development Framework(SPDF)・SBOM(Software Bill of Materials)・脅威モデル・脆弱性管理計画を要求しています。
ISO 14971 のハザード分析にサイバーセキュリティ脅威を組み込み、患者への危害・運用中断・データ侵害を横断評価する枠組みが必要です。ISO/IEC 81001-5-1(Health software and health IT systems safety, effectiveness and security - Security for product life cycle activities)が参照規格となります。
ISO 14971運用でよくある落とし穴
落とし穴1:リスクマネジメントが形骸化
開発初期に一度だけ FMEA を実施して終わりにすると、設計変更・市販後情報・新規リスクに追従できません。継続的運用が ISO 14971 の本質です。
落とし穴2:AFAP vs ALARP 議論の無視
EU 市場向けに ALARP の観点でリスク受容すると、Notified Body 監査で不適合指摘を受けます。EU 向けは AFAP を基準に、技術的実現可能な低減を尽くす必要があります。
落とし穴3:残存リスクの全体評価漏れ
個別リスクの評価はしても、すべての残存リスクの全体評価(Overall Residual Risk Evaluation)を忘れると ISO 14971 第 8 章違反。ベネフィットとの比較検討も必須です。
落とし穴4:市販後情報のフィードバック欠如
PMS・苦情・MDR・DSRI データを RMF に反映せず、初版のまま運用すると生産後活動(第 10 章)不適合となります。定期リスクレビューの仕組み化が不可欠です。
落とし穴5:AI/ML 特有リスクの過小評価
AI/ML 搭載機器で従来の FMEA しか実施しないと、データバイアス・モデルドリフト・継続学習リスクが見落とされます。GMLP 原則・PCCP との統合が必要です。
AI活用による ISO 14971 対応効率化
- ハザード抽出:類似機器の過去 MDR・FAERS・EudraVigilance データからハザード候補を自動抽出
- RMF 整合チェック:計画・分析・コントロール・評価・レポートの相互参照を AI で検証
- 市販後情報統合:苦情・MDR・文献レビューを自動で RMF に反映
- GSPR 対応トレース:Annex ZA/ZB の対応表を用いた全 GSPR 項目トレース自動化
- 変更影響評価:設計変更がリスク評価に及ぼす影響を自動シミュレーション
- 多規格マッピング:ISO 13485・IEC 62366-1・IEC 62304・IEC 81001-5-1 との要求事項マッピング
よくある誤解
誤解1:ISO 14971 は EU MDR の全要件を網羅する
誤りです。ISO 14971 はリスクマネジメント標準であり、EU MDR の全 GSPR を網羅しません。Annex ZA は対応関係を示すのみで、MDR の全要件適合は別途検証が必要です。
誤解2:ISO 14971:2007 版でも現行整合
誤りです。FDA・EU ともに 2019 年版(EU では A11:2021 付)の適合が要求されます。2007 版は過去版として扱われます。
誤解3:リスク評価は FMEA で十分
誤りです。FMEA は有用なツールの一つですが、Fault Tree Analysis(FTA)・HAZOP・リスクランキング等、機器特性に応じた手法選択が必要です。
誤解4:AI/ML 機器でも同じプロセスで良い
誤りです。データバイアス・モデルドリフト・継続学習リスクは従来機器にない特殊ハザードで、GMLP・PCCP・ISO/IEC 23894 等との統合的適用が必要です。
まとめ
ISO 14971:2019 は医療機器リスクマネジメントのグローバル標準であり、EU MDR/IVDR(A11:2021 付)、FDA QMSR、PMDA QMS 省令、NMPA GB/T 42062-2022 のすべてで事実上必須規格として機能します。ベネフィット・リスク分析の強化、生産後活動の要件拡大、AFAP vs ALARP の緊張関係、ISO/TR 24971 の補助ガイダンス、AI/ML 機器での特殊リスク対応が 2020-2026 年の主要論点です。
医療機器製造業者は、リスクマネジメント計画・RMF 運用・市販後情報フィードバック・多地域整合(特に EU 向け AFAP・FDA 認定コンセンサス標準・JIS T 14971・GB/T 42062)・AI/ML 機器での GMLP/PCCP 統合を核に、継続的なリスクマネジメント体制を構築することが求められます。
AI 活用によるハザード抽出・RMF 整合チェック・市販後情報統合・GSPR 対応トレースは、煩雑な ISO 14971 対応の効率化に大きく寄与します。ISO 13485・IEC 62304・IEC 62366-1・IEC 81001-5-1 との統合的運用を視野に、製品ライフサイクル全体でのリスクマネジメントの高度化を目指すべき時期です。