ISO 13485と21 CFR 820の比較：主な相違点の理解とハーモナイゼーションの準備

医療機器を製造している場合、品質システムは規制当局や顧客、そして最近では自社のチームからも監視の目を向けられています。すべての意思決定、文書、逸脱は、追跡可能で、監査可能で、大きなリスクを伴います。

そのため、ほとんどのメーカーは2つの枠組みの中で業務を行っています：医療機器の品質に関する国際規格であるISO 13485と、FDA 品質システム規則である21 CFR Part 820です。それぞれに独自の期待、構造、用語があります。この2つをうまく使い分けることが、長年の常識でした。

しかし、それはすぐに変わるでしょう。

FDA 21 CFR 820を廃止し、ISO 13485:2016と整合する新しい品質マネジメントシステム規則（QMSR）に置き換えます。その意図は、重複を減らし、世界的な一貫性を向上させる1つの調和された規格を作成することです。遵守期限は2026年2月ですが、準備の時期は今です。

このシフトは、業務および品質リーダーにとって重要な問題を提起しています。それは、これらのフレームワークがどのように異なるのか、そしてQMSをこれからのものと整合させるためには何が必要なのか、ということです。

詳しく見てみましょう。

ISO 13485:2016の準備はできていますか？FDA QMSR準備アセスメントでご確認ください！→

ISO 13485:2016は、世界中で使用されている医療機器の品質管理規格です。ヨーロッパ、カナダ、オーストラリアに販売する場合、すでにこの規格に精通している可能性があります。最近のISOの調査によると、2023年末時点で、有効なISO 13485:2016認証書は世界で32,963件発行されており、52,950以上のサイトをカバーしています。

ISO 9001のような広範な規格とは異なり、この規格は医療機器業界に特化して構築されています。この規格は、一貫して安全で効果的な医療機器を設計、製造、サポートするために、メーカーが備えるべきものを明記しています。そしてほとんどの国では、認証はオプションではなく、市場にアクセスするために通過しなければならない門なのです。

この規格は多くのことをカバーしていますが、リスク、管理、文書化といういくつかのテーマが何度も出てきます。

それはリスク管理から始まります。製品そのものだけでなく、安全性や品質に影響を与える可能性のあるすべてのプロセスに対してです。ISO13485は、設計や調達から苦情やリコールに至るまで、ライフサイクル全体にわたってリスクベースのレンズを適用することを企業に求めています。

設計管理はもう一つの核となる部分です。インプット、アウトプット、検証、妥当性確認、そして明確な変更プロセスを文書化する必要があります。これは、あなたが設計した製品が実際に製造されているものであり、それが想定されたとおりに動作することを示すために重要です。

文書化と記録管理は譲れません。この規格では、完全な品質マニュアル、文書化された手順書、そしてそれらの手順が遵守されていることの証拠を求めています。監査員は、トレーニングの記録から検査結果、ソフトウェアのバリデーション・レポートまで、あらゆるものを見ることを期待します。

これがもう一つの重要な要件につながります： ソフトウェアと特別なプロセスの検証.ソフトウェアを検査、データロギング、品質追跡に使用する場合、その使用方法についてテストし、検証する必要があります。滅菌や溶接のように、最終製品をチェックするだけでは検証できないプロセスも同様です。

サプライヤーの監督も重要です。ベンダーの選定、適格性評価、監視、特に製品の品質に影響を与えるベンダーの監視にはプロセスが必要です。一度だけの承認では十分ではありません。ISO13485は、継続的な評価とパフォーマンスの文書化を求めています。

そして最後に、規格は品質に対するクローズド・ループ・アプローチ（内部監査、トレーサビリティ、CAPA）を期待しています。つまり、自社のシステムを定期的に監査し、すべての部品と製品をプロセスを通じて追跡し、問題の再発を防ぐために構造化された方法で問題に対処するということです。

すでに規律を守って業務を遂行している製造業者にとっては、このフレームワークがすでに行っていることを反映したものであることが多いのです。また、FDA このフレームワークの採用に動いていることから、米国内だけでなく世界的にも、このフレームワークは急速に品質の共通言語となりつつあります。

21 CFR Part 820はFDA品質システム規則で、医療機器の製造、表示、米国内での流通を規定する法的枠組みです。これがルールブックです。

この規制は90年代後半から施行されており、製造業者が品質目標を達成する方法に柔軟性を持たせるように設計されています。多くの構造と文書を規定するISO 13485とは異なり、QSRはよりパフォーマンス・ベースです。QSRでは、達成すべきことは定義されていますが、その方法については自由裁量が与えられています。

とはいえ、核となる期待は明確です。

経営者の責任は基礎となる部分です。FDA 、シニアリーダーが品質方針を定義し、役割と責任を割り当て、システムのパフォーマンスを積極的にレビューすることを期待しています。これは、決めて終わりではなく、経営幹部は常に関与し、説明責任を果たすことが期待されています。

ほとんどの機器クラスでは、設計管理は必須です。設計インプットがどのように定義され、どのようにテストされ、最終設計がユーザーニーズに対してどのように検証されたかを示す必要があります。これには、すべての決定、変更、承認を文書化した完全な設計履歴ファイル（DHF）の管理が含まれます。

製造においては、製造者は、デバイスが一貫して製造され、仕様を満たしていることを保証する工程管理を確立することが期待されています。溶接や滅菌のように、最終製品の検査で検証できない工程は、バリデーションを行う必要があります。つまり、定義されたプロトコル、文書化されたテスト結果、プロセスが再現可能であることの証明です。

苦情処理も重点分野です。企業は、医療機器報告（MDR）規則に基づく報告の可能性について、すべての苦情を評価しなければなりません。苦情が製品に危害を与えた可能性（または将来危害を与える可能性）を示唆している場合は、徹底的に調査し、該当する場合はFDA 報告しなければなりません。

トレーニングと文書化の要件は簡単です。従業員は、その役割に応じたトレーニングを受け、トレーニングの記録を残す必要があります。ある人の業務が装置の安全性やコンプライアンスに影響を与える可能性がある場合、その人がその業務を行う資格があることを明確に証明する必要があります。

21 CFR Part 820が歴史的にISO 13485と異なっていた分野の1つに内部監査があります。現行規則では、FDA 査察官は内部監査の結果やマネジメントレビューの議事録を見ることができませんでした。これは新しいQMSRのもとで変更されますが、多くの米国企業がこれらのプロセスをどのように管理していたかは、このビルトインプライバシーによって形作られていたのです。

QSRとISO13485には多くの共通点がありますが、両者は長年にわたって微妙に異なる道を歩んできました。一方は柔軟性を重視し、もう一方は構造を重視してきました。しかし、ハーモナイゼーションが目前に迫っている今、両者の違いは薄れつつあります。

ISO 13485と21 CFR Part 820は、どちらも医療機器が安全で効果的であり、機能する品質システムの下で構築されていることを確認するために存在しますが、その方法は異なります。両者の相違点は以下の通りです：

文書化と処方

ISO13485は、文書化する必要があるものについて、より明確にしています。正式な品質マニュアル、各プロセスの定義された手順、そしてそれを裏付ける具体的な記録を求めています。FDAQSRも文書化を要求していますが、より柔軟に書かれています。その焦点は、プロセスが効果的であるかどうかであり、必ずしもテンプレートに従ってすべてをラベル付けしたかどうかではありません。

実際には、ISO 13485に従っている企業は、より多くの構造をシステムに組み込んでいる場合が多いということです。

リスク管理の統合

これが最大の違いの一つです。ISO13485では、品質システムのほぼすべての部分にリスクが織り込まれています。設計計画からサプライヤーの監視に至るまで、リスクベースの思考が期待されています。また、医療機器のリスクマネジメント規格であるISO14971にも直接結びついています。

対照的に、現行の21 CFR 820ではリスクについて同じように言及されていません。リスクは、CAPAや設計バリデーションへの取り組み方など間接的に現れますが、正式なリスクマネジメントプロセスに対するシステム全体の期待はありません。FDA 次期QMSRでこのギャップを埋めようとしています。

サプライヤー管理の厳格さ

どちらのフレームワークも、メーカーにサプライヤーを審査・監視することを求めています。しかし、ISO 13485はさらに進んでいます。具体的な選定基準を設定し、評価の記録を保持し、サプライヤーのパフォーマンスを継続的に監視することを求めています。FDAアプローチはもう少し軽いもので、購入したコンポーネントが要件を満たしていることを確認することに重点を置いていますが、そこに到達するための具体的な方法については規定していません。

この違いは、特に初めてISO監査を受け、公式化されたサプライヤー・スコアカードや文書化された再評価がない場合、企業を油断させる可能性があります。

ソフトウェア検証要件

これは、両者がほぼ一致している分野の一つですが、ISO 13485の方がより明確に規定されている傾向があります。製造またはQMSをサポートするソフトウェアはすべて、その意図された使用に対してバリデートされなければなりません。FDA820.70(i)にも同じことが書かれていますが、言葉は少ないです。

ISOがより注目するのは、文書管理、トレーニングプラットフォーム、監査追跡ツールなどの電子システムです。デジタルQMSを使用している場合、ISO監査員はバリデーションの記録を見たがりますし、新しいQMSRの下ではFDA 査察官も同じです。

ライフサイエンスメーカーがバリデーションにどのような新しいアプローチを採用しているかをご覧ください。

内部監査の透明性

この矛盾は微妙ですが、重要です。現行のQSRでは、FDA 査察官は内部監査結果やマネジメントレビューの記録を見ません。このプライバシーのおかげで、規制上のリスクを負うことなく、監査中に率直な意見を述べることができるのです。

しかし、ISO 13485 では、そのような保護はありません。審査員は、指摘事項、フォローアップ措置、終結の証拠の提示を求めることができます（そして実際に求めます）。QMSRが発効すれば、FDA 同じことを行うでしょう。この変更により、社内の説明責任のハードルが上がるため、企業は準備が必要になります。

規制執行メカニズム

最後に、執行の問題があります。ISO 13485への準拠は、通常、第三者機関による認証監査を通じて検証されます。一方、21 CFR 820は連邦法であり、FDA直接施行されます。つまり、査察の結果、483観察、警告書、またはより深刻な措置につながる可能性があります。

その意味では、FDA 取締りの方が常に重みがありました。QMSRはそれを変えるものではありませんが、ISO 13485と整合させることで、メーカーに、より明確で一貫した枠組みを提供します。

品質システムがISO 13485に適合していれば、FDA 要求事項にも適合しているということです。しかし、FDA ただ手綱を渡しただけではありません。FDAは、ISOではカバーしきれない米国特有の要求事項をいくつか追加しました：

• 苦情ファイル文書

• 機器固有識別番号（UDI）の記録管理

• ラベル・包装検査

• ISOの "安全性とパフォーマンス "に対する "安全性と有効性 "のような、米国の法律と結びついた具体的な定義

言い換えれば、ISO認証をコピー／ペーストして終わりというわけにはいきません。しかし、すでにISO 13485を遵守しているのであれば、問題はないでしょう。

タイムライン

QMSRの発効は2026年2月2日。このため、製造業者は発表から約2年以内にシステムを準備する必要があります。特に、すでにISO 13485の認証を取得している企業では、それほど多くのことを行う必要はないでしょう。その他の企業、特にQSRを遵守してきただけの企業は、より詳細に検討する必要があるでしょう。

これは、直前まで延期できる更新ではありません。現在のシステムが21 CFR 820に大きく適合しているのであれば、今こそギャップアセスメントを行い、変更すべき点を確認する時です。

検査の変更も

QMSRで見過ごされている変化の一つは、FDA 査察の方法です。旧規則では、FDA 査察官は内部監査の結果やマネジメントレビューの記録を見ることができませんでした。これは廃止されます。

QMSRが施行されると、これらの文書は公正なゲームとなります。2024年だけでも、 FDA 医療機器に関連する警告書を45通発行しています。最も多かったのは、設計管理（22通）、CAPA（19通）、苦情ファイル（13通）でした。これは、規制当局がどこに注目しているかを示す明確なシグナルであり、今後どのようなエンフォースメントが行われるかを予見させるものです。

FDA また、従来のQSIT査察モデルから移行すると述べています。詳細はまだ未定ですが、査察はISO査察の実施方法に沿ったものになりそうです。

コンプライアンスを超えて重要な理由

この変更が行われる主な理由は？複数の市場に販売するメーカーの負担を軽減するためです。これまで米国企業は、FDA 向けとそれ以外の市場向けにそれぞれ1つのシステムを維持しなければなりませんでした。それは、手続きの重複、余分な監査、複雑化、そして最終的にはコスト増を意味していました。

この移行により、メーカーは合理化を図ることができます。ISO13485を中心とした1つの品質システムを構築することができ、それが米国内外の期待に応えていることを知ることができます。これにより、時間を節約し、リスクを低減し、サプライヤーの監査からソフトウェアの検証まで、すべてを簡素化することができます。

また、企業はより明確な道筋を示すことができます。チームは、2つの異なる用語と構造を解析する代わりに、どこでも機能する単一のシステムの構築に集中することができます。

スプレッドシートでCAPAを管理したことがある人、監査の前日にトレーニング記録の欠落を追ったことがある人、3つの異なるシステムからトレーサビリティをまとめようとしたことがある人なら、手作業による品質プロセスの限界をご存知でしょう。時間がかかり、壊れやすく、拡張が難しいのです。

そこで、Tulip ようなプラットフォームが真価を発揮します。単にフォームをデジタル化するだけではありません。リアルタイムで、明確なオーナーシップのもとで、何も漏れることなく。

CAPA、文書管理、監査証跡の自動処理

Tulip、CAPA管理を日々のワークフローを通じてチームを導くアプリケーションに直接組み込むことができます。タイムスタンプ、署名、必須フィールドが組み込まれた構造的なフローで、問題が記録され、割り当てられ、追跡され、解決されます。また、タイムスタンプ、署名、必須フィールドが組み込まれ、構造化されたフローで問題が記録され、割り当てられ、追跡され、クローズされます。

文書管理も同様です。更新の管理、承認のルーティング、バージョン履歴の管理がすべてプラットフォーム内で行えます。すべての変更が追跡され、すべてのアクセスが記録されます。監査人が最新のSOPを誰がいつ承認したかを質問した場合、答えは数秒でわかります。

一目でわかるトレーニングとトレーサビリティ

もうバインダーにトレーニング記録を保管する必要はありません。Tulip使用すれば、誰がトレーニングを受けたか、誰が再教育を受けるべきか、最新のプロシージャの更新を承認したかどうかを追跡できます。必要なトレーニングを完了するまで、特定のワークフローへのアクセスをブロックすることもできます。

トレーサビリティについては？オペレーターがTulip アプリでバーコードをスキャンしたり、測定を入力したり、チェックリストを完了したりするたびに、そのデータが記録され、リンクされます。製品を部品、ロット番号、設備、関係者まで遡ることができます。そして、書類の山を掘り起こすことなく、それを行うことができます。

苦情、サプライヤー、監査など、現実の世界をカバーするApps

Tulipアプリ・ライブラリには、品質チェック、内部監査、逸脱など、さまざまな用途のアプリがあらかじめ組み込まれています。これらは単なる静的なフォームではありません。プロセスの各ステップを通じてチームをガイドし、一貫性を強化し、すべてを1つの場所に保存するためのインタラクティブなアプリです。

顧客からの苦情が一定の閾値に達した場合、自動的にCAPAをトリガーすることができます。サプライヤーが品質チェックに不合格だった場合、システムはフォローアップ・レビューをスケジュールしたり、適切な担当者にエスカレーションすることができます。単にデータを収集するだけでなく、継続的な改善を推進するためにデータを活用するのです。

コンプライアンスを考慮した設計

Tulip ISO 9001:2015認証を取得しており、GxP 規制環境で働くチームをサポートするように設計されています。これには、電子署名、監査証跡、アクセス制御など、精査に耐えるよう構築されたシステムに期待されるあらゆるものが含まれています。

ISO 13485認証取得の準備、FDAQMSR変更への対応、あるいは単に多くのツールのやりくりにうんざりしている場合など、Tulip 複雑さを増すことなく、すべてを統合する実用的な方法を提供します。

FDAISO13485を採用する動きは、単なるコンプライアンスのハードルではありません。単純化するチャンスなのです。

長年、品質チームはISOに片足を突っ込み、FDA片足を突っ込み、その間に余分な文書を積み重ねなければなりませんでした。

QMSRによって、メーカーは最終的に両方を満たす1つのシステムを構築することができ、優れた製品を作ることに集中し、重複する事務作業を減らすことができます。

すでにISO 13485に準拠している場合は、ゲームの先を行っています。そうでない場合は、今が真剣に検討する時です。2026年まで待つことは、先を急ぐことを意味します。今始めることで、より良い管理、より明確なトレーサビリティ、検査時の不意打ちの減少など、より強固な基盤を築くことができます。

そこで、Tulip ようなプラットフォームの出番です。

Tulip 単なるソフトウェアではありません。トレーニング、CAPA、クレーム、監査などのためのアプリで、チームは手を抜くことなく迅速に行動できます。ISO 13485が要求する仕組みを、業務の成長に合わせて柔軟に適応させることができます。

規制は進化し続けるでしょう。期待は高まり続けます。問題は、その変化に対応できるシステムが構築されているかどうかです。

Tulip 、品質を障害物ではなく資産として扱う準備ができているチームのために開発されました。