| GL:本体 |
3 用語定義
スマート治療室システムとは、手術や施術に使用される各要素がネットワークで接続されたシステムである。スマート治療室システムの各要素は異なる事業者によって提供される。
スマート治療室要素とは、スマート治療室デバイスと、スマート治療室ミドルウェア、スマート治療室アプリケーションである。
スマート治療室デバイスとは、異なる事業者によってスマート治療室システムに提供され、手術や施術に使用されるデバイスである。スマート治療室ミドルウェアを介して様々なサービスをスマート治療室アプリケーションに提供する。仮想的デバイスのように実在しないデバイスも考えられ、その場合はスマート治療室デバイスとスマート治療室アプリケーションの両方の事項を参照するべきである。スマート治療室ミドルウェアとは、異なる事業者によって提供される様々なスマート治療室デバイスに対して共通のインターフェースをスマート治療室アプリケーションに提供するミドルウェアである。計算機にインストールされて提供されるか否かは問わない。
スマート治療室アプリケーションとは、スマート治療室ミドルウェアを介してスマート治療室デバイスを利用し様々な新しい機能を使用者に提供するアプリケーションプログラムである。単体のプログラムであるか計算機にインストールされて提供されているかは問わない。そのため、スマート治療室デバイスとスマート治療室アプリケーションが一つの要素となって提供される場合は、スマート治療室デバイスとスマート治療室アプリケーションの両方の事項を参照するべきである。
スマート治療室の当事者とは、スマート治療室デバイスと、スマート治療室ミドルウェア、スマート治療室アプリケーションの各事業者、およびスマート治療室導入者である。
一事業者が上記の複数の役割で当事者となることもできる。
スマート治療室導入者とは、別々に提供されたスマート治療室システムの要素を構成し、適切に使用できるように設定・確認する者である。医療施設等の保守・管理者であったり、このような業務を請け負う専門の業者であったりする。
4 推奨事項
スマート治療室システムの開発について以下の規格やガイダンスを参考にすることができる。
(1) 品質マネジメント:JIS Q 9001、医療機器に該当する場合は JIS Q 13485 が適用される
(2) リスクマネジメント:JIS T14971
(3) ヘルスソフトウェア製品安全:JIS T 82304-1
(4) 医療機器ソフトウェアライフサイクルプロセス:JIS T 2304
(5) サイバーセキュリティ
・サイバーセキュリティタスクフォース(総務省)、IoT セキュリティ総合対策、平成29 年 10 月
・厚生労働省、医療情報システムの安全管理に関するガイドライン第 5 版、平成 29 年5 月
・IoT 推進コンソーシアム(総務省、経済産業省)、IoT セキュリティガイドラインVer1.0、平成 28 年 7 月
(6) Interoperability:FDA, Design Considerations and Pre-market Submission Recommendations for Interoperable Medical Devices, Sept 6, 2017
4.1 スマート治療室要素(スマート治療室ミドルウェア、スマート治療室デバイス、スマート治療室アプリケーション)共通
4.1.1 開示
スマート治療室要素の基本情報が開示されるべきである。ここでいう「開示」とは、無制限に開示されるか限定的に開示されるかは問わない。限定的に開示される場合は開示の範囲や条件は適切に管理されるべきである。開示されるべき基本情報を以下に例示する。
(1) Intended Use、シナリオ
(2) 適用症例、適用患者(もしあれば)
(3) スマート治療室要素が提供できる機能と性能
(4) スマート治療室要素が他のスマート治療室要素に求める機能と性能
(5) アラーム、エラー、ワーニングの種類、意味、対処法等
(6) 使用者、使用条件
(7) 適合性や適合条件
(8) 点検・維持方法
(9) バージョンアップ、不具合情報
以下に幾つかの事項について詳細に述べる。
4.1.1.1時刻
スマート治療室要素の時刻に関する情報が開示されるべきである。開示されるべき時刻の情報を以下に例示する。
(1) 時刻合わせ機能の有無、時刻合わせの方法
(2) 時刻の分解能や正確さ、ばらつき
(3) データへの時刻情報の付与の有無。付与される時刻の定義(実施時刻か問い合わせ時刻か等)
(4) 他者に要求・推奨する時刻に関する機能・性能、方法
(5) 他者と時刻が異なることによるリスクや許容される時刻の相違
4.1.1.2 テスト
スマート治療室要素はスマート治療室要素をテストする方法を開示すべきである。テストすべき項目を以下に例示する。
(1) 通信機能
(2) 時刻機能
(3) スマート治療室要素が必要とする機能
(4) スマート治療室要素が提供する機能
4.1.1.3不具合情報
スマート治療室要素の不具合情報は速やかにかつ適切な範囲に開示されるべきである。
4.1.1.4バージョンアップ
スマート治療室要素のバージョンアップによって開示される情報に変更がある場合は、その変更内容は開示されるべきである。また、バージョンの管理は適切に行われるべきである。
4.1.2 接続・通信
4.1.2.1 個体識別
スマート治療室要素は製造者や製品番号、バージョン情報をオンラインで提供する機能を有するべきである。
4.1.2.2通信エラー対策
スマート治療室要素は通信エラーの検知あるいは訂正機能を有することが望ましい。
4.1.2.3 通信傍受対策
スマート治療室要素は、通信環境に応じて、通信傍受対策が実施されているべきである。
オープンネットワーク(無線を含む)では暗号化が有効である。
4.1.2.4 不正・不要の通信
スマート治療室要素は、合理的に予見可能な相互作用が他のネットワークシステムの不正な操作を引き起こさないようにすべきである。また、不要にネットワークリソースを消費しないように努めるべきである。
4.1.3 安全
4.1.3.1 強制終了・異常終了・再起動
スマート治療室要素は強制終了や異常終了、リセット、再起動に対するリスクマネジメントをするべきである。
4.1.3.2 他要素の異常終了・リセット・再起動
スマート治療室要素は他要素の異常終了やリセット、再起動に対するリスクマネジメントをするべきである。
4.1.3.3通信欠損・遅延・断絶
スマート治療室要素は通信の欠損・遅延・断絶に対してロバストであるべきである。また適切にリスクマネジメントをするべきである。また必要に応じて通信の欠損・遅延・断絶の有無を使用者に表示すべきである。
4.1.3.4 規格外の通信
スマート治療室要素は想定されない相手からの通信、あるいはスマート治療室要素からの想定されない通信に対してロバストであるべきである。
4.1.3.5ユーザビリティ及びユーザインターフェース
スマート治療室要素のユーザビリティ及びユーザインターフェースは広く用いられた規格に従う。以下の規格を例示する。
(1) IEC 60601-1-6
(2) IEC 62366
4.2 スマート治療室ミドルウェア
4.2.1 開示
4.2.1.1 計算機環境
スマート治療室ミドルウェアが単体プログラムとして提供される場合は、スマート治療室ミドルウェアが必要とする計算機環境について開示すべきである。また推奨する計算機環境について併せて開示すべきである。
4.2.1.2時刻
スマート治療室ミドルウェアの時刻に関する情報が開示されるべきである。開示されるべき時刻の情報を以下に例示する。
(1) タイムサーバー機能の有無
(2) 推奨されるスマート治療室システムの時刻の同期方法
4.2.1.3機能・性能
スマート治療室ミドルウェアが提供できる機能・性能について開示されるべきである。開示すべき機能・性能を以下に例示する。
(1) 最大接続数、スループット
(2) 適合するスマート治療室デバイスとスマート治療室アプリケーションのリスト
4.2.1.4 通信
スマート治療室ミドルウェアが使用できる通信条件について開示されるべきである。また推奨される通信条件についても併せて開示されるべきである。開示すべき通信条件を以下に例示する。
(1) 物理層
(2) 通信プロトコル
(3) 通信速度、遅延、タイムアウト、データ再送のルール
(4) 送信要求の要否、形式、間隔
4.2.1.5取り扱えるデータ
スマート治療室ミドルウェアが取り扱えるデータについて開示されるべきである。推奨される取り扱い方があれば開示されるべきである。開示すべきデータの詳細を以下に例示する。
(1) ミドルウェアの機能を呼び出すコマンドの種類、形式
(2) 変数型、有効桁数
(3) スマート治療室デバイスやスマート治療室アプリケーションの管理データ:個体識別、個体機能・性能の記述形式
(4) 送受信データフォーマット:例えば、汎用データ、DICOM、 HL7、 MFER 等
(5) 時間データ:時間分解能、時刻種別(測定・実行時刻、受信・送信時刻)、データ保有時刻(タイムスタンプ等)
(6) アラーム、ワーニング、エラーのデータ形式
4.2.2 接続・通信・記録
4.2.2.1 通信機能
スマート治療室ミドルウェアは接続されるスマート治療室デバイスやスマート治療室アプリケーションの特性に応じて通信制限を適切に設定できる機能を有するべきである。以下に通信制限を例示する。
(1) 排他的アクセス/複数同時アクセス
(2) リアルタイム/非リアルタイム
(3) 大容量/小容量
(4) 一時停止可能/一時停止不可能
4.2.2.2スマート治療室デバイス接続一覧
スマート治療室ミドルウェアは接続されているスマート治療室デバイスの一覧や、ある条件のスマート治療室デバイスの一覧、特定のスマート治療室デバイスの接続の有無についての情報をアプリケーション等に提供する機能を有するべきである。この際に、同一スマート治療室デバイスが複数接続される状況を想定して、適切に対応すべきである。
4.2.2.3 スマート治療室デバイス接続状態
スマート治療室ミドルウェアは接続されているスマート治療室デバイスの接続状態やその変化についての情報を適切なタイミングで提供する機能を有すべきである。提供すべき接続状態やタイミングを以下に例示する。
(1) 接続状態:切断、排他的利用、排他的利用開放、エラー発生、通信帯域オーバー、正常(正常を明示すべきかは場合による)
(2) 適切なタイミング:状態確認要求に応じて提供する/状態の変化に応じて提供する
4.2.2.4 汎用データの記録
スマート治療室ミドルウェアはデータフォーマットが定義されていない汎用データ(例、デバイスやアプリの生データ)を記録しログとして保持する機能を有するべきである。
4.2.2.5適合性確認
スマート治療室ミドルウェアは接続されているスマート治療室デバイスやスマート治療室アプリケーションの適合性を確認すべきである。適合性が確認できなかった場合はアラートを出すなど適切に対応できる機能を有するべきである。
4.2.2.6ユーザアクセス制限
スマート治療室ミドルウェアについて、ユーザアクセス制限があるスマート治療室要素を利用する場合は、そのアクセス制限を踏襲した対応方針を定義すべきである。
例えば、アクセス制限のある機器のパスワードをミドルウェアで保存する場合は、ミドルウェアにおけるそのパスワードの使用についてアクセスを制限すべきである。あるいは、スマート治療室アプリケーションでアクセス管理する場合は、スマート治療室ミドルウェアでパスワードなどの情報を保存するべきではない。
4.2.3 管理
4.2.3.1状態表示
スマート治療室ミドルウェアはスマート治療室ミドルウェアの状態をリアルタイムあるいはノンリアルタイムに表示、検索、集計する手段を提供すべきである。表示等すべき状態を以下に例示する。
(1) スマート治療室システム全体や各スマート治療室要素の消費リソース
(2) 接続中のスマート治療室デバイスやスマート治療室アプリケーションの稼働状況
(3) 通信エラーやワーニング等の動作ログ
4.2.3.2 リソース制御
スマート治療室ミドルウェアはリソースを制御する機能を有するべきである。リソースの優先度をスマート治療室導入者や使用者が決定できる機能を有するべきである。
4.3 スマート治療室デバイス
4.3.1 開示
4.3.1.1機能・性能詳細
スマート治療室デバイスが提供できる性能の詳細について開示されるべきである。開示されるべき詳細な性能を以下に例示する。
(1) 計測や制御の項目
(2) 計測や制御の頻度や正確さ、ばらつき
(3) 計測や制御の時刻種別や時刻の正確さ、ばらつき
(4) データの定義:例えば、座標データを取り扱う場合は、座標系を明確にすべきである
(5) データフォーマット:汎用データ、DICOM 形式、HL7、MFER 形式等
(6) 計測や制御のデフォルト値、初期値、正常範囲
4.3.1.2通信機能・性能・条件
スマート治療室デバイスの通信機能・性能・条件について開示されるべきである。また推奨される通信条件についても併せて開示されるべきである。開示すべき通信機能・性能・条件を以下に例示する。
(1) 物理層
(2) 通信プロトコル
(3) 通信速度、遅延、タイムアウト、データ再送のルール
(4) 通信形式:排他的アクセス/複数同時アクセス、リアルタイム/非リアルタイム、大容量/小容量、一時停止可能/一時停止不可能等
4.3.1.3安全使用
スマート治療室デバイスが安全に使用できる条件や使用できない条件、推奨される事項、注意事項等について開示されるべきである。開示すべき事項を以下に例示する。
(1) 禁忌、予防措置、警告
(2) フォルトトレランスやフェイルセーフに関する記述
4.3.2 接続・通信
4.3.2.1個体識別
スマート治療室デバイスは製造者や製品番号、バージョン、個体番号等を、スマート治療室ミドルウェアを介して提供する機能を有するべきである。このような機能を提供できない場合は、スマート治療室導入者が確認できるようにラベル等で表示するべきである。
4.3.2.2 接続・通信状態
スマート治療室デバイスは必要に応じて接続・通信状態を使用者に表示する機能を有するべきである。
4.3.3 安全
4.3.3.1改ざん
スマート治療室デバイスが実機で表示している情報の変更を受け付けるべきではない。
4.4 スマート治療室アプリケーション
4.4.1 開示
4.4.1.1 計算機環境
スマート治療室アプリケーションが単体プログラムとして提供される場合は、スマート治療室アプリケーションが必要とする計算機環境について開示すべきである。また推奨する計算機環境について併せて開示すべきである。
4.4.1.2 通信機能・性能・条件
スマート治療室アプリケーションの通信機能・性能・条件について開示すべきである。また推奨される通信条件について併せて開示すべきである。開示すべき通信機能・性能・条件を以下に例示する。
(1) 物理層
(2) 通信プロトコル
(3) 必要とされる通信速度や許容される遅延やデータ再送のルール
(4) 通信形式:排他的アクセス/複数同時アクセス、リアルタイム/非リアルタイム、大容量/小容量、一時停止可能/一時停止不可能等
4.4.1.3 必要とする他要素
スマート治療室アプリケーションが必要とする他スマート治療室要素(主にスマート治療室デバイス等)や他スマート治療室要素に要求する機能・性能について開示すべきである。
また、推奨する他スマート治療室要素の機能・性能について併せて開示すべきである。
4.4.1.4記録する情報・要求する情報
スマート治療室アプリケーションがスマート治療室ミドルウェアに記録する情報およびスマート治療室ミドルウェアに要求する情報の詳細を開示すべきである。
(1) データフォーマット:汎用データ、DICOM、HL7、MFER 等
(2) 変数型、有効桁数、頻度
4.4.1.5安全使用
スマート治療室アプリケーションが安全に使用できる条件や使用できない条件、推奨される事項、注意事項等について開示されるべきである。開示すべき事項を以下に例示する。
(1) 禁忌、予防措置、警告
(2) フォルトトレランスやフェイルセーフに関する記述
4.4.2 接続・通信
4.4.2.1接続状態確認
スマート治療室アプリケーションは使用する他スマート治療室要素の接続状態等を確認してから使用するべきである。オンラインで確認できなかった事項についてはスマート治療室導入者や使用者に確認を求める機能を有すべきである。確認できなかったスマート治療室要素があった場合は、そのスマート治療室要素の使用を中止するかスマート治療室アプリケーションの使用を中止すべきである。また、同一の他要素が複数(例えば、同型スマート治療室デバイスが 2 台等)接続される状況を想定して適切に対応すべきである。確認すべき事項を以下に例示する。
(1) 個体識別情報
(2) 接続の有無や状態
(3) 利用可能な機能や利用不可能な機能の一覧及び詳細
4.5 スマート治療室導入者
4.5.1 導入時
4.5.1.1基本情報
スマート治療室導入者は、導入するスマート治療室システムの基本情報を規定すべきである。規定すべき事項を以下に例示する。
(1) Intended Use、シナリオ
(2) 適用症例、適用患者(もしあれば)
(3) 必要とされる機能と性能
(4) 使用者、使用条件
4.5.1.2 構成
スマート治療室導入者は、基本情報と各スマート治療室要素の開示された事項を確認し、スマート治療室システムが安全で効果的に稼働するようにスマート治療室システムを構成すべきである。スマート治療室導入者が確認すべき事項を以下に例示する。
(1) 構成されたスマート治療室システムは規定された Intended Use やシナリオを満たしているか。各要素の Intended Use やシナリオと矛盾はないか、目的外利用となっていないか。
(2) 構成されたスマート治療室システムは規定された症例や患者に適用できるか。
(3) 構成されたスマート治療室システムは規定された機能と性能を満たしているか。各スマート治療室要素の機能や性能がシステムに必要な機能や性能を満たしているか。各スマート治療室要素が推奨される使用条件で使用されていることが望ましい。
(4) 構成されたスマート治療室システムは規定された使用者と使用条件は構成されたシステムに必要な使用者と使用条件を適切に規定しているか。各スマート治療室要素の使用者や使用条件と矛盾はないか。
(5) 各スマート治療室要素の適合性や適合条件(バージョンなど)に矛盾がないか。
4.5.1.3 時刻同期の仕組み
スマート治療室導入者は開示された各スマート治療室要素の時刻同期に関する事項を確認し、各スマート治療室要素の時刻がより少ない誤差で継続的に同期する仕組みを構成するべきである。その上で時刻の不正確さや不一致に起因するリスクに対するリスクマネジメントを行うべきである。時計同期の仕組みを例示する。
(1) スマート治療室システム内にタイムサーバーがあり、各スマート治療室要素が必要に応じてこのタイムサーバーと時刻同期する。
4.5.1.4. 電気的安全性
スマート治療室導入者はスマート治療室システムの電気的安全性について確認・対策すべきである。確認すべき事項について以下に例示する。
(1) 電気的ループ
(2) 漏れ電流
4.5.1.5確認すべき事項
スマート治療室導入者は導入時に各スマート治療室要素の開示された事項を確認し、スマート治療室システムが適切に使用されるように対策すべきである。以下に確認すべき事項・対策すべき事項を例示する。
(1) 各スマート治療室要素の使用手順、禁忌、警告、リスク、合理的に予見可能な誤用、危険な状況に繋がる可能性のある事象を確認し対策する。
(2) 各スマート治療室要素の使用条件や手順をまとめる。必要に応じてスマート治療室システム全体の使用条件や手順をまとめる。
(3) 部分/全体リセット、再起動手順を確立する。
(4) 各スマート治療室要素のリスクを確認し、その情報をもとに自らもリスクマネジメントを行う。
(5) 装置の取り違えなどの防止対策を確立する。
(6) ユーザインターフェースやラベリングを確認し対策する。
4.5.1.6使用者に通知すべき事項
スマート治療室導入者は、使用者が安全で効果的にスマート治療室システムを使用できるよう必要な事項を通知すべきである。また必要に応じて教育・訓練すべきである。通知すべき事項を以下に例示する。
(1) スマート治療室システムの基本情報
(2) スマート治療室システムの使用方法
(3) 潜在的リスク
4.5.1.7 セキュリティ対策
スマート治療室導入者は各スマート治療室要素のセキュリティ対策を確認したうえで、システムセキュリティ対策を規定し、それに従って対策を実施すべきである。スマート治療室導入者がセキュリティ対策するうえで注意すべき事項を以下に例示する。
(1) ネットワーク環境や接続方法(無線 LAN など)に起因する情報漏えいや改ざん、通信不具合
(2) Off-the-Shelf ソフトウェアの脆弱性、ウィルス・マルウェア対策
(3) ユーザ・パスワード管理
4.5.1.8導入時のテスト
スマート治療室導入者はスマート治療室システムのテスト方法を規定し、それに従ってスマート治療室システムをテストすべきである。テスト方法を規定するうえで考慮すべき事項を以下に例示する。
(1) スマート治療室システムの基本情報
(2) 時刻事項
(3) 通信機能(欠損・遅延・断絶を含む)
(4) 強制終了、再起動
(5) 機能・性能
(6) 各スマート治療室要素で規定されたテスト方法
4.5.1.9 点検・維持
スマート治療室導入者は、導入後もスマート治療室システムが安全で効果的に機能するための点検・維持方法を規定すべきである。また、使用者や他の当事者と協力して、正しく実施される体制を規定すべきである。
4.5.1.10導入の記録
スマート治療室導入者は、導入時の上記事項の詳細について記録すべきである。特に記録すべき事項を以下に例示する。
(1) Intended Use、シナリオ
(2) 適用症例、適用患者
(3) 必要とされる機能と性能
(4) 使用者、使用条件
(5) 時計同期の仕組み
(6) 電気的安全性
(7) 使用手順
(8) リスクマネジメントの結果
(9) テスト方法とテスト結果
(10) 点検・維持方法
(11) セキュリティ対策
4.5.2 導入後
4.5.2.1 バージョンアップ
スマート治療室導入者は、個々の要素(Off-the-Shelf も含む)のバージョンアップについて、開示された変更点を確認し、その変更点が全体に与える影響を考慮したうえで対応するべきである。必要に応じて導入時と同様に対応(使用方法、リスクマネジメント、テスト、使用者への通知、セキュリティ対策)するべきである。
4.5.2.2 不具合対策
スマート治療室導入者は導入した各要素(Off-the-Shelf も含む)の不具合情報を確認すべきである。不具合に対する対策についてはスマート治療室システム全体に及ぼす影響を考慮したうえで対策すべきである。また不具合情報とその対策、その影響について使用者と情報共有すべきである。
4.5.2.3 構成変更
スマート治療室導入者はスマート治療室システムの構成変更にあたって、導入時と同様に対応すべきである。
|
| GL:付属資料 |
Appendix
A. 本ガイドラインで検討したスマート治療室システム
本ガイドラインは、日本医療研究開発機構と東京女子医科大学等と共同で進めてきた未来医療を実現する医療機器・システム研究開発事業「安全性と医療効率の向上を両立するスマート治療室の開発」において開発されているスマート治療室システム[1][2]を参考にして、以下のような特徴を有したスマート治療室システムを想定して策定された。
・ ミドルウェアがアプリケーションとデバイスを介することで、様々な事業者から提供されるデバイスやアプリケーションを共通のインターフェースで利用することができる。
・ 各デバイスやアプリケーションの統一された時刻に沿った動作記録を取得する。
・ 計測・制御情報を手術に反映させるタイムクリティカルなシステムである。
・ ミドルウェアを中心としたスター型のネットワークである。
・ 適合性が確認されたデバイスやアプリケーションのみが接続できる。デバイスやアプリケーションに固有の ID が振り分けられている。
・ 機能・性能等の情報が予め登録されている。
・ Off-the-Shelf のソフトウェアや一般的なネットワーク通信手段を用いている。
B. 参考文献・参考資料
[1] J Okamoto, K Masamune, H Iseki, Y Muragaki, Development concepts of a smart cyber operating theater (SCOT) using ORiN technology, Biomedical
Engineering/Biomedizinische Technik 63 (1), 31-37
[2] 岡本淳,正宗賢,伊関洋,村垣善浩,次世代手術室 SCOT(Smart Cyber Operating
Theater)の開発,日立製作所技術情報誌 MEDIX Vol. 66, pp.04-08, 2017
( http://www.hitachi.co.jp/products/healthcare/products-support/contents/medix/pdf/ vol66/p04-08.pdf )
|