본문 바로가기

인사이트

[규제 Insight] 글로벌 의료기기 규제 컨퍼런스 2022 MEDCON 참관기

안녕하세요. AITRICS의 RA/QA Team입니다!

 

RA/QA Team에서는 인허가/품질관리 업무 이외에도 의료기기 국제 규제 동향을 파악하고 선도해나가기 위해 열심히 활동하고 있는데요!

RA/QA Team은 최근 5월 버추얼로 진행된 글로벌 의료기기 규제 컨퍼런스(2022 MedCon Conference)에 참여했습니다. 이에 글로벌 의료기기 규제 컨퍼런스(2022 MEDCON) 참관기를 여러분께 공유합니다.💪

 

먼저 2022 MedCon Conference에 대해서 소개해 드리겠습니다.

AFDO(Association of Food and Drug Officials, 미국식품의약품협회)/RAPS(Regulatory Affairs Professionals Society, 규제업무(RA)전문가 협회)에서 주관하는 **2022 MedCon 이 지난 2022년 5월 4일부터 6일까지 3일 간 진행되었습니다. AFDO는 1896년부터 미국 각 지역의 규제 관리 공무원들로 구성되어 FDA와 긴밀하게 협력하고 있는 역사 깊은 조직이며, RAPS는 1976년에 출범하여 의료 규제 업무 종사자로 구성된 가장 큰 글로벌 조직입니다.

 

MedCon Conference는 FDA와 Xavier Health 그룹에서 10년 넘게 진행해온 역사 깊은 행사였으며, 올해부터 주관 기관이 AFDO/RAPS로 이관 되었습니다. MedCon은 여전히 가장 많은 수의 FDA의 연사가 참여하는 규제 컨퍼런스이며, FDA와 아주 밀접하게 논의할 수 있는 기회를 제공하고 있습니다.

출처: https://2022medcon.cd.pathable.com/

디지털 헬스케어와 관련된 주요 세션은 다음과 같습니다.

 

  • CDRH’s Strategic Direction for 2022
  • Cybersecurity: Holistic Strategies to Mitigate and Manage Risk
  • Global Developments in Regulating AI Based Medical Devices
  • FDA Proposed QMSR - Updating 21 CFR 820 to Harmonize with ISO 13485:2016
  • Software Bill of Materials (SBOM): An essential tool supporting cybersecurity risk management across the healthcare ecosystem

전체 세션 목록은 아래 표와 같습니다.

Session Timetable

모든 주제에 관심이 가지만, 본 포스팅에서는 SaMD(Software as Medical Device), AI-MD(AI based Medical Device)에 관련된 세션만을 다루겠습니다. 참고로 발표 영상은 저작권으로 인해 공유가 불가하며, 국내 업계에서 알아두면 좋을 정보를 각 세션별로 간략히 소개합니다.


1. CDRH’S STRATEGIC DIRECTION FOR 2022

Speakers: Jeff Shuren, Director of the Center for Devices and Radiological Health, FDA – CDRH


아래 세 개의 FDA 가이던스가 올 가을 안에 발행될 예정입니다.

  • Final Guidance on Clinical Device Support Software - ETA Fall 2022
  • Draft Guidance on PCCP for AI/ML-Enabled Devices - ETA Fall 2022
  • Draft Guidance on Computer Software Assurance for Production and Quality System Software - ETA Fall 2022

특히 AI/ML-enabled device에 대한 PCCP(Predetermined Change Control Plan) 가이던스가 눈에 띕니다. PCCP란 제조업체가 AI/ML 모델의 변경 통제에 관하여 구체적이고 체계적인 계획을 세워야 한다는 목적 하에 FDA2019년 4월에 AI/ML 규제 프레임워크 논의 자료에서 제안한 자료 형태입니다. 본 가이던스는 추후 AI/ML-enabled device의 출시 전 심사(Premarket submission) 자료를 준비하기 위한 핵심적인 지침이 될 것으로 보입니다.

 

2. GLOBAL DEVELOPMENTS IN REGULATING AI BASED MEDICAL DEVICES

Speakers: Gert Bos, Executive Director and Partner, Qserve Group

Koen Cobbaert, Senior Manager – Quality, Standards & Regulations, Philips

Eric Henry, King & Spalding

Yu Zhao, Founder & President, Bridging Consulting LLC

 

본 세션은 몇 명의 연사가 AI-MD에 대한 여러가지 중요한 질문을 던지고, 청중과 함께 토론(Open discussion)을 하는 형태로 진행되었습니다. FDA를 비롯한 여러 규제 기관에서 아직까지 AI-MD에 대한 구체적인 가이던스를 발행하지 않았기 때문에, 컨퍼런스에 참가한 업계 종사자들과 함께 여러 경험과 아이디어를 나누려는 목적으로 세션이 구성되었다고 생각이 들었습니다.

 

스피커가 던진 주요 질문은 다음과 같습니다.

  • Continuous learning: 의료기기 규제는 AI/ML-enabled device의 시판 이후의 학습과 변경을 어느 정도 수용합니까?
  • Building evidence of compliance: 의료기기 제조업체는 FDA와 NB의 inspections/audits 중에 AI/ML 모델에 대한 근거 자료를 전통적인 규제 프레임워크 안에서 얼마나 제공할 수 있습니까?
  • Clinical validation: 미국 FDA 및 기타 규제 기관은 안전성 분류에 관계없이 AI/ML 소프트웨어에 대해 항상 임상 검증을 요구합니까?
  • Risk management: AI/ML-enabled device의 편향(bias)을 식별하고 완화하기 위한 위험관리 프로세스 적용 방법이나 선례가 있습니까?
  • FDA framework for AI/ML SaMD: AI/ML 의료기기 제조업체는 현재 AI/ML SaMD에 대해 FDA가 제안한 규제 프레임워크를 현실적으로 어느 정도 활용할 수 있습니까?

비록 현장에서는 기억에 남는 이야기 없이 추상적인 논의로 세션이 끝났습니다만, 저희는 구체적인 접근을 위한 계획으로써 다음과 같이 생각하고 있습니다.

 

➡️ Continuous learning과 Compliant evidence 질문에 대해서는 올 가을에 발행될 FDA의 Draft Guidance on PCCP for AI/ML-Enabled Devices가 제조업체에게 좋은 요구 사항을 제공할 것으로 보입니다.

➡️ Risk Management 질문에 대해서는 올해 4월에 AAMI에서 발행한 Consensus Report (AAMI CR 34971:2022, Guidance on the Application of ISO 14971 to Artificial Intelligence and Machine Learning)가 좋은 참고가 될 것 같습니다. 향후 이 문서는 ISO TR 24971과 같이 위험관리 실무에 큰 영향을 미치는 지침이 되지 않을까 싶습니다.

 

AAMI CR34971:2022

[Page : 35]

[Contents]

1. Data management

2. Bias

3. Data storage, security, privacy

4. Overtrust

5. Adaptive systems

 

 

➡️ 마지막으로 Clinical validation과 FDA framework 질문에 대해서는 올 가을 FDA에서 발행할 Final Guidance on Clinical Device Support Software가 다양한 품목 분류 사례와 함께 명확한 업무 지침을 제공할 것으로 보입니다.

 

개인적으로 본 세션을 가장 기대했습니다만, 내용이 싱겁게 구성되어 많이 아쉬웠습니다.😢 내년 컨퍼런스에서는 FDA의 여러 guidance를 기반으로 보다 구체적인 발표와 논의가 오갈 수 있기를 기대해 봅니다. 💪🏻

 

3. CYBERSECURITY: HOLISTIC STRATEGIES TO MITIGATE AND MANAGE RISK

Speakers: Carlos Arglebe, Siemens Healthineers

Arnab Ray, Abbott

Dan Lyon, Director of Product Cybersecurity, ***Boston Scientific Corporation

 

최근 헬스케어 분야는 커넥티드 헬스케어(Connected Healthcare)로써 발전하며 인터넷 연결이 필수화 되었습니다. 이는 많은 장점을 제공하지만, 민감 정보(데이터)로의 접근을 통한 안전 및 개인정보 침해 등의 여러 위험성도 갖고 있습니다. 본 세션에서는 이러한 위험에 대한 3가지 피해 사례를 공유하였습니다.

공유된 대표 사례는 다음과 같습니다.

Hollywood Presbyterian

2016년 2월, 할리우드 장로교 병원이 랜섬웨어 공격을 받아 일부 시스템이 감염되고 암호화된 사례입니다.

병원은 기록 보관을 위해 업무 시 모든 사항을 종이에 작성해야 했으며, 암호 해독 키를 통해 시스템과 관리 기능을 복원하는 데에 17,000달러(40 비트코인)의 비용이 들었습니다.

의료기기 관점에서는 이전에 유효성 평가(Validation)가 완료되었더라도, 병원에서 겪은 사이버 공격과 시스템 복원 과정에서 Validation 결과가 달라지는 부분이 있을 수 있으며, 또한 암호 해독 키를 사용하더라도 100% 시스템 복원이 어렵기 때문에 이는 안전성 측면에서 잠재 위험(Integrity problem)이 있다고 볼 수 있는 사례였습니다.

German Hospital

2020년 9월, University Hospital of Dusseldorf(UKD)에 대한 랜섬웨어 공격으로 약 30개의 내부 서버가 영향을 받아 병원 운영이 중단되었던 사례입니다.

이로 인해 해당 병원의 모든 환자들이 타 병원으로 이송되어야 했으며, 특히 응급처치가 필요했던 78세 여성의 경우 타 병원으로 옮겨지는 과정에서 의료 조치가 지연되어 결국 사망하게 되었습니다.

사건을 조사해보니 병원과 비슷한 이름을 가진 대학교를 목표로 했던 사이버 공격이 병원에 잘못 가해진 것으로 드러났습니다. 결론적으로 병원을 목표로 한 공격은 아니었지만, 결국 병원 보안의 취약점으로 인해 환자 안전에 영향을 준 사례였습니다.

Ireland

2021년 5월, Health Service Executive(HSE)가 심각한 랜섬웨어 사이버 공격을 당해 약 80%의 시스템이 차단되었습니다.

이로 인해 시스템 내 예약되어있었던 모든 진료 일정이 취소되었으며, 기록 보관을 위해 모든 사항을 종이에 작성해야만 했습니다. 결국 시스템을 복구하는데 성공하였지만 꼬박 한 달이 소요되었습니다.

시스템 복구 당시 해커들은 초기에 2천만 달러를 요구하였으나 곧 HSE에 시스템을 복구 할 수 있도록 해독 키를 제공해주었다고 합니다. 그러나 여전히 2천만 달러를 요구하고 있으며, 이 요구를 들어주지 않을 경우 모든 정보를 대중에게 공개하겠다고 이야기 했습니다.

이 사건은 최소 1억 달러 이상의 대응 비용이 책정됨으로서 심각한 경제적 손실이 발생한 사례였습니다.

위 사례들을 통해 환자의 건강 데이터를 안전하게 보호할 수 있는 보안이 필수적이며, 사이버보안은 헬스케어 분야에서 단순 규제적 요구사항이 아닌 품질 요구사항으로서 적용되어야 한다고 재차 강조되고 있습니다.

이에 따라 저희도 사이버보안을 위해 아래의 항목들을 품질 시스템에 적용하고 수행할 필요가 있다고 느꼈습니다.

  • 보안 테스트 전략 수립
  • 개발 단계에서부터 제품 Lifecycle에 걸쳐 전반적으로 사이버보안을 고려
  • 의료기관의 운영 환경을 고려
  • 안전성 및 개인 정보 보호(Privacy)를 고려하여 품질 시스템 안에 적용
    • Safety와 Privacy의 통합 관리
    • 기술, 프로세스 및 전략을 포괄하여 사이버보안에 대한 품질 시스템 운영
  • 의료기관만의 책임이 아닌 공동 책임임을 인지

4. FDA PROPOSED QMSR - UPDATING 21 CFR 820 TO HARMONIZE WITH ISO 13485:2016

Speakers: Scott Sardeson, International Regulatory Affairs/Quality Compliance Director, 3M, TC 210 WG Chairman Keisha Thomas, Associate Director for Compliance & Quality, U.S. FDA

 

현재 미국 FDA는 의료기기 품질 관리 시스템(QMS) 관리에 있어 국제 표준(ISO 13485)과는 다른 구성의 규정(21 CFR part 820)을 시행하고 있습니다.

 

하지만 최근 많은 제조사들이 ISO 13485에 따른 QMS를 수립하고 운영하면서, FDA에서도 QMS 규정을 ISO 13485와 통합할 필요가 있다고 판단하였습니다. 이에 따라 최근 FDA는 ISO 13485:2016에 기반하여 새로운 QMS Regulation(QMSR) 초안을 작성하였고 2022년 3월 2일에 공식 발표했습니다.

 

FDA의 새로운 QMSR 규정은 아래 그림과 같이 구성되어 있습니다. 기존의 규정과 ISO 13485의 용어에 차이가 있었기 때문에 이에 대한 차이를 최소화하는 작업을 진행하였으며, 신규 QMSR의 용어를 이해하기 위해서는 ISO 13485:2016 표준과 함께 Normative Reference인 ISO 9000:2015을 참조하는 과정이 필요하다고 언급하였습니다.

 

  • FD&C Act - 미국 의료기기 법
  • Proposed 21 CFR 820.3 - FDA의 신규 QMSR 규정
  • ISO 13485:2016 - 의료기기 품질관리 시스템
  • ISO 9000:2015 - 전체 산업에 대한 품질관리 시스템

 

 

 

 

신규 QMSR은 FDA가 업계 관계자들의 의견을 수렴하여 Finalize한 후 2023년 06월에 발간/시행될 예정입니다.

 

신규 QMSR이 시행되면, 제조사는 기존 FDA의 QMS 규정과 ISO 13485를 별개로 운영할 필요 없이, FDA의 신규 QMSR 규정을 기준으로 품질 시스템을 업그레이드 한 후 그에 맞게 운영하면 될 것으로 보입니다.

 

이로써 제조업체가 의료기기 사업을 국내와 유럽 뿐만 아니라 미국 시장에서도 좀 더 수월하게 관리할 수 있기를 기대해봅니다.

 

5. WHAT CLOUD COMPUTING TEACHES US ABOUT THE FUTURE OF THE VALIDATED STATE

Speakers: Francis Blacha, Global Quality Leader – Drug Delivery System Development, Eli Lilly

Pat Baird, Philips

Randy Horton, Orthogonal

 

본 세션에서는 제조업체의 의료기기 혹은 QMS가 Public Cloud 환경에서 운영될 때 어떻게 검증된 상태를 유지할 지에 대한 내용이 논의되었습니다.

 

작년 9월, AAMI(Association for The Advancement of Medical Instrumentation)에서 이에 대한 17 페이지의 간략한 Consensus Report를 발행하였으며 (AAMI CR510:2021 Appropriate Use of Public Cloud Computing for Quality Systems and Medical Devices), 현재는 CR을 기반으로 AAMI TIR(Technical Information Report) 작업을 진행하고 있습니다.

 

TIR은 국제표준과 미국의 국가표준에 참조될 수 있는 공신력 있는 문서로, 본 CR이 TIR로 발간된다면 여러 주요 규격의 보조 규격으로 사용될 것이라 예측됩니다. (IEC 62304, FDA 21 CFR 820.30, ISO 13485, ISO 14971, AAMI TIR45, EU MDR, etc.)

AAMI CR510:2021에서 의료기기용 클라우드의 검증을 위해 제안하는 6가지 주요 권장 사항은 다음과 같습니다.

 

1. 클라우드 컴퓨팅 리소스의 사용목적 정의

2. 프로젝트/리소스 평가에 위험 기반 접근 방식을 적용

3. 일반적인 업데이트 주기를 식별

4. 공급업체와 제조업체의 프로세스를 면밀한 수준으로 평가

5. 클라우드 서비스 업데이트가 SW에 부정적인 영향을 미칠 경우를 대비한 계획 수립

6. 공급업체 모니터링 프로세스 개발

 

 

 

 

6. SOFTWARE BILL OF MATERIALS (SBOM): An essential tool supporting cybersecurity risk management across the healthcare ecosystem

Speakers: Aftin Ross, Senior Project Manager, Staff Fellow, FDA-CDRH

Ed Heierman, Informatics Software Architect, Abbott

Chris Reed, Director, Regulatory Policy, Digital Health and Product Safety, Medtronic

 

최근 사이버보안 분야에서는 보안 취약점을 야기하는 주요 원인으로 Third-party SW, Open-source SW의 활발한 사용과 함께 소프트웨어 구성 요소가 최신 상태로 유지되지 못하는 상황이 논의되고 있으며, 이에 따라 미국에서는 국가적인 사이버보안 역량을 개선하기 위해 2021년 5월 12일에 행정 명령 14028을 시행하며 SBOM(Software Bill Of Materials)와 그 가치를 구체적으로 명시하였습니다.

 

FDA도 마찬가지로 의료기기 사이버보안 규제에서 SBOM 활동을 협상 불가능한(non-negotiable) 요구사항으로 여기고 있으며, 제조업체는 더욱 성숙한 SBOM 관리 역량을 갖출 필요가 있게 되었습니다.

 

주요 규제 기관의 SBOM 활동에 대한 진행 상황은 다음과 같습니다.

  • FDA
    • 2022년 4월에 FDA Draft guidance - Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions를 발행하였으며, 지침 전반에 SBOM 개념을 반영하였습니다.
  • IMDRF
    • 2020년 3월 principle document을 통하여 SBOM을 labeling requirement 중 하나로 명시하였으며, 2022년 2분기에는 SBOM practices 주제로 draft document를 출시할 예정입니다.
  • EU
    • 2019년 12월에 발행한 MDCG 2019-16에서 labeling 요구사항으로 SBOM을 요구하는 것이 전부이지만, 현재 NB에서는 product review 중에 SBOMknown vulnerability disposition 정보를 요구하는 것이 관행으로 여겨지고 있습니다.

 

본 포스팅에서는 SBOM의 구체적인 정보에 대해 설명하지 못하지만, SBOM의 개념과 적용 방법, 사례에 관하여 참고할만한 자료들을 적어드립니다.


향후 일정

저희 RA/QA팀에서는 향후에도 지속적으로 인공지능 기술과 의료기기 소프트웨어에 관한 최신 규제를 모니터링하고 국내 업계에 소개하려 합니다. 국내의 관련 분야 종사자 분들 중에서 이러한 내용에 관심이 있거나 구체적인 논의가 필요하다면 언제든 연락 바랍니다! 🙌

 

📃현재 계획중인 국제 회의/컨퍼런스 참석 일정은 아래와 같습니다.

  • ITU/WHO FG-AI4H(AI for Healthcare) - 31 May - 2 June, 2022
  • ARDO/RAPS AI SUMMIT - 25-27 October, 2022