ISO 13485 対 21 CFR 820：主な相違点の理解と調和に向けた準備

医療機器を製造する場合、その品質管理体制は、規制当局や顧客、そしてますます自社のチームからも厳しく監視されています。あらゆる意思決定、文書、逸脱事項は追跡可能かつ監査可能であり、その影響は極めて重大です。

そのため、多くのメーカーは、医療機器の品質に関する国際規格であるISO 13485と、FDAの品質システム規制である21 CFR Part 820という2つの枠組みに基づいて事業を展開しています。それぞれに固有の要件、構造、用語があります。これら両方の枠組みに対応することは、かねてより一般的な慣行となっています。

しかし、その状況はまもなく変わるでしょう。

FDAは、現行の21 CFR 820を廃止し、ISO 13485:2016に準拠した新たな品質マネジメントシステム規制（QMSR）に置き換える予定です。その目的は、重複を削減し、世界的な一貫性を高めるための統一基準を策定することにあります。遵守期限は2026年2月ですが、準備を始めるべきは今です。

この変化は、業務および品質管理の責任者にとって重要な問いを突きつけます。すなわち、これらの枠組みはどれほど異なるのか、そして今後の動向に合わせて自社の品質マネジメントシステム（QMS）を調整するには何が必要なのか、ということです。

詳しく見てみましょう。

ISO 13485:2016への対応準備はできていますか？当社のFDA QMSR対応度評価を受けて、確認してみましょう！ →

ISO 13485:2016は、世界の多くの地域で採用されている医療機器向けの品質マネジメント規格です。 欧州、カナダ、またはオーストラリアへ製品を販売している場合、すでにこの規格をご存知かもしれません。最近のISOの調査によると、2023年末時点で、世界中で32,963件の有効なISO 13485:2016認証が発行されており、52,950カ所以上の拠点をカバーしています。

ISO 9001のような広範な規格とは異なり、この規格は医療機器業界向けに特別に策定されたものです。この規格では、一貫して安全かつ有効な医療機器を設計、製造、およびサポートするために、製造業者がどのような体制を整える必要があるかが明確に定められています。また、多くの国では、この認証は任意のものではなく、市場に参入するために通過しなければならない必須の条件となっています。

この規格は幅広い範囲を網羅していますが、リスク、管理、文書化といういくつかのテーマが繰り返し登場します。

まずはリスク管理から始まります。製品そのものだけでなく、安全性や品質に影響を及ぼす可能性のあるあらゆるプロセスにおいてです。ISO 13485では、設計や調達から苦情対応やリコールに至るまでのライフサイクル全体を通じて、リスクベースのアプローチを適用することが企業に求められています。

設計管理もまた、重要な要素の一つです。入力、出力、検証、妥当性確認を文書化し、明確な変更プロセスを確立する必要があります。これは、設計した製品が実際に製造されている製品そのものであり、かつ想定された機能を果たしていることを証明するために不可欠です。

文書化と記録管理は必須です。この規格では、完全な品質マニュアル、文書化された手順書、およびそれらの手順が遵守されていることを示す証拠が求められます。監査員は、研修記録から検査結果、ソフトウェアバリデーション報告書に至るまで、あらゆる書類の提示を求めるでしょう。

そこから、もう一つの重要な要件が導き出されます： ソフトウェアおよび特殊プロセスの検証。検査、データロギング、品質追跡のためにソフトウェアを使用している場合、その使用方法についてテストと検証を行う必要があります。滅菌や溶接など、最終製品を確認するだけでは検証できないプロセスについても同様です。

サプライヤーの管理も重要です。特に製品の品質に影響を与えるベンダーについては、選定、適格性審査、および監視を行うプロセスが必要です。一度きりの承認だけでは不十分です。ISO 13485では、継続的な評価と実績の文書化が求められています。

そして最後に、この規格では、品質管理において閉ループ型のアプローチが求められています。具体的には、内部監査、トレーサビリティ、および是正処置（CAPA）です。つまり、自社のシステムを定期的に監査し、工程内のすべての部品や製品を追跡し、問題が再発しないよう体系的な方法で対処する必要があるということです。

すでに規律ある運営を行っている製造業者にとって、この枠組みは、彼らがすでに実践していることを反映したものであり、単にその仕組みがより体系化され、文書化がより徹底されたものに過ぎません。また、FDAがこの枠組みの採用に向け動き出していることから、これは米国のみならず世界中で、品質管理における共通言語として急速に定着しつつあります。

21 CFR Part 820は、FDAの品質システム規制であり、米国における医療機器の製造、表示、流通を規定する法的枠組みです。米国市場向けの医療機器を製造する場合、この規制への準拠は必須です。これが基本となる規則集です。

この規制は1990年代後半から施行されており、製造業者が品質目標を達成する上で柔軟性を確保できるよう設計されています。多くの構造や文書化を規定するISO 13485とは異なり、QSRはより成果重視のものです。達成すべき目標は明確に定義されていますが、その達成方法については一定の裁量が認められています。

とはいえ、基本的な期待事項は明確です。

経営陣の責任は、その基盤となる要素です。FDAは、経営陣が品質方針を策定し、役割と責任を割り当て、システムの運用状況を積極的に見直すことを求めています。これは一度設定すればそれで終わりというものではなく、経営陣は継続的に関与し、責任を果たすことが求められます。

ほとんどのデバイスクラスにおいて、設計管理は必須です。設計入力の定義方法、その検証方法、および最終設計がユーザーのニーズに対してどのように妥当性確認されたかを示す必要があります。これには、開発過程におけるあらゆる決定、変更、承認を記録した完全な設計履歴ファイル（DHF）を維持管理することも含まれます。

製造においては、メーカーは、医療機器が一貫して製造され、仕様を満たすことを保証する工程管理体制を確立することが求められます。溶接や滅菌など、最終製品を検査するだけでは工程を検証できない場合は、その工程のバリデーションを行う必要があります。つまり、明確な手順書、文書化された試験結果、およびその工程が再現可能であることを示す証拠が必要となります。

苦情対応も重点分野の一つです。企業は、医療機器報告（MDR）規制に基づく報告の対象となる可能性があるか否かについて、すべての苦情を評価しなければなりません。苦情の内容から、製品が健康被害を引き起こした可能性（または将来的に引き起こす可能性がある）が示唆される場合は、徹底的な調査を行い、必要に応じてFDAに報告しなければなりません。

研修および文書化の要件は明確です。従業員は担当する職務に応じた研修を受け、研修記録を保管しなければなりません。業務内容が機器の安全性やコンプライアンスに影響を及ぼす可能性がある場合は、その業務を行う資格があることを明確に証明できる必要があります。

21 CFR Part 820が従来、ISO 13485と異なっていた点の一つが、内部監査です。現行の規制下では、FDAの査察官は内部監査の結果や経営レビューの議事録を確認することが認められていませんでした。新しいQMSRの下ではこの状況が変わりますが、注目すべき点は、この「組み込まれたプライバシー」が、多くの米国企業のこうしたプロセスの管理方法に影響を与えてきたということです。

つまり、QSRとISO 13485には多くの共通点があるものの、長年にわたりその発展の道筋はわずかに異なってきた。一方は柔軟性を重視し、もう一方は体系性を重視してきた。しかし、調和化が進むにつれ、そうした違いは次第に薄れつつある。

ISO 13485と21 CFR Part 820は、いずれも医療機器が安全かつ有効であり、機能的な品質システムの下で製造されることを保証するために存在しますが、その達成方法には違いがあります。両者の相違点は以下の通りです：

文書化と規範性

ISO 13485は、どのような事項を文書化すべきかについて、より明確に規定しています。同規格では、正式な品質マニュアル、各プロセスに対する定義された手順、およびこれらを裏付ける具体的な記録が求められています。一方、FDAのQSRも文書化を要求していますが、その規定はより柔軟に設けられています。重点が置かれているのは、プロセスが有効であるかどうかであり、必ずしもテンプレートに従ってすべてにラベルを付けているかどうかではありません。

実際には、これはISO 13485に準拠している企業では、システムにより強固な体制が組み込まれていることが多いことを意味します。これは組織によっては有益である一方、負担となる場合もあります。

リスク管理の統合

これが最大の違いの一つです。ISO 13485では、品質システムのほぼすべての部分にリスク管理が組み込まれています。設計計画からサプライヤーの監督に至るまで、全工程においてリスクベースの考え方が求められます。また、この規格は医療機器のリスクマネジメント規格であるISO 14971とも直接的に関連しています。

対照的に、現行の21 CFR 820では、リスクについて同様の言及はされていない。リスクは、CAPAへの取り組み方や設計検証の方法といった点において間接的に表れているものの、システム全体として正式なリスク管理プロセスが求められることはない。これは、FDAが今後施行されるQMSRによって解消しようとしている課題である。

サプライヤー管理の厳格さ

どちらの枠組みも、製造業者に対してサプライヤーの審査と監視を義務付けています。しかし、ISO 13485はさらに踏み込んだ内容となっています。この規格では、具体的な選定基準を策定し、評価記録を維持し、サプライヤーのパフォーマンスを継続的に監視することが求められます。一方、FDAのアプローチはやや緩やかで、購入する部品が要件を満たしていることを確保することに重点を置いていますが、その達成方法については具体的に規定していません。

この違いは、特に初めてISO監査を受ける企業や、正式なサプライヤー評価表や文書化された再評価の仕組みがない企業にとっては、予期せぬ事態となる可能性があります。

ソフトウェアの検証要件

この点に関しては両者の見解は概ね一致していますが、ISO 13485の方がより明確に規定しています。製造または品質マネジメントシステム（QMS）を支援するソフトウェアは、その使用目的に応じてバリデーションを実施しなければなりません。FDAの820.70(i)も同様の内容を定めていますが、より簡潔な表現となっています。

ISOが特に重視されるのは、文書管理、研修プラットフォーム、監査追跡ツールといった電子システムです。デジタルQMSを導入している場合、ISO監査員は検証記録の提示を求めるでしょう。また、新しいQMSRの下では、FDAの査察官も同様に検証記録の提示を求めることになります。

ライフサイエンスメーカーが検証においてどのような新しいアプローチを取り入れているか、ご覧ください →

内部監査の透明性

この違いは些細なものですが、重要な点です。現行のQSRの下では、FDAの査察官は内部監査の結果や経営陣によるレビューの記録を審査しません。この非公開性により、規制上のリスクを懸念することなく、監査の際に率直な意見を述べやすくなっていました。

しかし、ISO 13485ではそのような保護は提供されていません。監査人は、不適合事項、是正措置、および是正完了の証拠の提示を求めることができ（実際に求めています）。QMSRが施行されれば、FDAも同様の対応を取るでしょう。この変更により、内部の説明責任に対するハードルが引き上げられるため、企業はそれに備えておく必要があります。

規制執行の仕組み

最後に、施行の問題があります。ISO 13485への準拠は、通常、第三者による認証監査を通じて確認されます。一方、21 CFR 820は連邦法であり、FDAによって直接施行されます。つまり、査察の結果によっては、483項目の指摘、警告書、あるいはそれ以上の厳しい措置につながる可能性があります。

その意味で、FDAの規制執行は常に大きな影響力を持ってきました。QMSRによってその状況が変わるわけではありませんが、ISO 13485との整合を図ることで、製造業者に対して、より明確かつ一貫性のある事業運営の枠組みを提供することになります。

QMSRの核心は極めて単純明快です。つまり、自社の品質システムがISO 13485に準拠していれば、FDAの要件にも準拠していることになります。しかし、FDAは単に権限を委譲しただけではありません。ISOでは完全には網羅されていない、米国特有の要件をいくつか追加しました。その中には、次のようなものがあります：

• 苦情ファイルの記録

• 一意の医療機器識別子（UDI）の記録管理

• 表示および包装の検査

• 「安全性および有効性」といった米国法に基づく具体的な定義と、ISOの「安全性および性能」との違い

つまり、ISO認証を取得したからといって、それをそのまま流用して事足りるわけではありません。しかし、すでにISO 13485を厳格に遵守しているのであれば、問題はないでしょう。

年表

QMSRは2026年2月2日に施行されます。これにより、メーカーは発表から約2年間、体制整備を行う時間が与えられます。特にISO 13485の認証をすでに取得している企業など、大きな対応を必要としない企業もあるでしょう。一方、これまでQSRのみに準拠してきた企業などは、より詳細な検討が必要となるでしょう。

これは、ぎりぎりまで先延ばしにできるような更新ではありません。現在のシステムが21 CFR 820に厳密に準拠している場合は、今こそギャップ分析を行い、どのような変更が必要かを確認すべき時です。

検査に関する変更も予定されています

QMSRにおける見過ごされがちな変更点の一つは、FDAの査察の実施方法に関するものです。旧規則の下では、FDAの査察官は内部監査の結果や経営レビューの記録を閲覧することが認められていませんでした。しかし、この制限は撤廃されます。

QMSRが施行されれば、これらの文書は調査の対象となる。 2024年だけでも、FDAは医療機器に関連する警告書を45通発行し、そのうち31通が品質システム規制（QSR）の違反を指摘していました。最も多かった問題は、設計管理（22通）、是正措置（CAPA）（19通）、苦情ファイル（13通）でした。これは、規制当局がどこに注目しているかを明確に示すものであり、今後の規制執行のあり方を予見させるものです。

FDAはまた、従来のQSIT検査モデルから脱却する方針を示している。詳細はまだ未定だが、検査はISO監査の実施方法に近づき、チェックリスト重視からプロセス重視へと移行する見込みだ。

コンプライアンスを超えて、なぜこれが重要なのか

この変更が行われる主な理由は何か？それは、複数の市場に製品を販売するメーカーの負担を軽減するためだ。これまで、米国企業はFDA向けとそれ以外の地域向けに、それぞれ別々のシステムを維持しなければならなかった。その結果、手続きの重複や余分な監査が生じ、業務が複雑化し、最終的にはコスト増につながっていた。

この変化により、メーカーは業務の効率化を図ることができます。ISO 13485を中核とした単一の品質システムを構築すれば、それが米国および海外の双方の要件を満たしていることが確認できます。これにより、時間の節約やリスクの低減が図れるほか、サプライヤー監査からソフトウェアバリデーションに至るまで、あらゆるプロセスが簡素化されます。

また、これにより企業は今後の方向性をより明確に把握できるようになります。2つの異なる用語体系や構造を個別に検討する代わりに、チームはあらゆる場所で機能する単一のシステム構築に注力できるようになります。

スプレッドシートでCAPAを管理した経験がある方、監査の前日に紛失した研修記録を探し回った経験がある方、あるいは3つの異なるシステムからトレーサビリティを組み立てようとした経験がある方なら、手作業による品質プロセスの限界をご存知でしょう。それらは時間がかかり、脆弱で、拡張も困難です。

そこで、Tulip プラットフォームが真価Tulip 。単にフォームをデジタル化するだけではありません。チームがプロセスを本来あるべき姿で、つまりリアルタイムかつ責任の所在が明確で、見落としがない形で、質の高い運用を行うために必要なツールを提供します。

CAPA、文書管理、監査証跡――これらを自動的に処理

Tulip、CAPA管理機能をアプリに直接組み込むことができ、チームの日常業務の流れに沿って運用できます。課題は、タイムスタンプ、署名、必須入力項目が組み込まれた体系的なフローに沿って、記録、割り当て、追跡、そして解決へと進みます。万が一見落としがあった場合でも、システムがより大きな問題になる前に警告を発します。

文書管理についても同様です。更新の管理、承認ルートの設定、バージョン履歴の管理をすべてプラットフォーム内で一元的に行うことができます。すべての変更が追跡され、すべてのアクセスが記録されます。監査担当者が「最新のSOPを誰がいつ承認したのか」と尋ねた場合、その答えは瞬時に確認できます。

トレーニングとトレーサビリティを一目で把握

もうトレーニングの記録をバインダーに保管する必要はありません。Tulipを使えば、誰がトレーニングを修了したか、誰が再トレーニングの時期を迎えているか、そして最新の業務手順の更新を確認済みかどうかを追跡できます。さらに、必要なトレーニングを修了するまで、特定のワークフローへのアクセスを制限することも可能です。

トレーサビリティについてはどうでしょうか？オペレーターがTulip を操作するたびに――バーコードをスキャンしたり、測定値を入力したり、チェックリストを完了したり――そのデータは記録され、関連付けられます。製品を構成部品、ロット番号、使用された機器、そして関与した担当者まで遡って追跡することが可能です。しかも、山のような書類をくまなく調べる必要はありません。

実務Apps ：苦情対応、仕入先管理、監査

Tulip、品質チェック、内部監査、逸脱事項など、あらゆる用途に対応した既成のアプリが揃っています。これらは単なる静的なフォームではありません。プロセスの各ステップをチームに案内し、一貫性を確保し、すべての情報を一箇所にまとめて管理できる、インタラクティブなアプリです。

顧客からの苦情が一定の閾値に達した場合、自動的に是正措置（CAPA）が発動されます。サプライヤーが品質検査に不合格となった場合、システムはフォローアップ審査をスケジュールしたり、適切な担当者にエスカレーションしたりすることができます。単にデータを収集するだけでなく、そのデータを活用して継続的な改善を推進しているのです。

コンプライアンスを重視して設計されています

Tulip 9001:2015の認証Tulip 、GxPや規制対象の環境で業務を行うチームを支援するよう設計されています。これには、組み込み型の電子署名、監査証跡、アクセス制御など、厳格な審査に耐えうるシステムに求められるあらゆる機能が含まれています。

ISO 13485認証の準備、FDAのQMSR改正への対応、あるいは連携の取れていないツールをいくつも使い分けることに疲れている場合でも、Tulip 、複雑さを増すことなく、すべてを統合する実用的な方法Tulip 。

FDAによるISO 13485の採用は、単なる新たなコンプライアンス上のハードルではありません。これは業務を簡素化する好機なのです。

長年にわたり、品質管理チームは、ISOとFDAの両方の要件に対応しつつ、その間に山積みの追加書類を処理しなければならなかった。

QMSRを活用すれば、メーカーはついにこの両方の要件を満たす単一のシステムを構築できるようになり、書類作業の重複に費やす時間を減らし、優れた製品づくりに注力できるようになります。

すでにISO 13485に準拠しているなら、一歩先を行くことになります。まだ準拠していない場合は、今こそ真剣に検討すべき時です。2026年まで待っていると、後で慌てることになります。今から始めれば、より強固な基盤を築くことができ、管理体制の強化、トレーサビリティの明確化、そして監査時の予期せぬ問題の軽減につながります。

そこで、Tulip のようなプラットフォームTulip 。

Tulip 単なるソフトウェアTulip 。品質管理のあり方を現代的に刷新する手段なのです。トレーニング、CAPA、苦情対応、監査などのアプリを活用することで、チームは手抜きをすることなく業務を迅速に進めることができます。ISO 13485で求められる体系的な仕組みを備えつつ、業務の拡大に合わせて柔軟に対応できる柔軟性を兼ね備えています。

規制は今後も変化し続けるでしょう。期待もますます高まるでしょう。問題は、御社のシステムがそれに追いつけるように構築されているかどうかです。

Tulip ――品質を障害ではなく資産として捉える準備が整ったチームのために設計されています。