ASTROM通信バックナンバー

2019.01.15

【PIC/Sデータ・インテグリティ関連ガイドラインドラフトについて(3)】ASTROM通信<162号>Part2

 ~安全な医薬品の安定供給をご支援する~

こんにちは 
ASTROM通信担当の橋本奈央子です。


今回は、前回に引き続き、2018年11月30日にPIC/Sから発出された、「GMP/GDP環境でのデータ管理と
インテグリティに関する適正管理基準のガイドラインのドラフト(PI 041-1 (Draft 3))」の
9章の、コンピュータ化システムを使用したデータ・インテグリティについて取り上げているのですが、
非常に長いため、先ほどお送りした【PIC/Sデータ・インテグリティ関連ガイドラインドラフトについて(3)】
ASTROM通信<162号>Part1に引き続き、Part2を送付させていただきます。


◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
PIC/S GMP/GDP環境でのデータ管理とインテグリティに関する適正管理基準のガイドラインのドラフト
GOOD PRACTICES FOR DATA MANAGEMENT AND INTEGRITY IN REGULATED GMP/GDP ENVIRONMENTS
PI 041-1 (Draft 3) 
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
9.6 コンピュータ化システム内のデータのレビュ
<電子データのレビュ>
1-期待
・規制を受けるユーザは、コンピュータ化システムにより生成された全てのGMP/GDPに関連する電子データ
  を確認し、データの重要性を確認するために、リスクアセスメントを実施しなければならない。一旦
  確認したら、重要なデータは、規制を受けるユーザによって監査され、作業が正しく行われ、
  変更(修正、削除、上書き)が電子記録上でオリジナルの情報に対して実施されたかどうかを判断する
  ために検証されなければならない。
・SOPは、どのデータが第二のオペレータによりいかにチェックされるかプロセスを述べなければならない。
  これらのSOPは、レビュされる重要なローデータ、データ・サマリのレビュ、関連するログブックや
  ハードコピーの記録のレビュの概要を述べ、いかにレビュが実施され、記録され、承認されるかを説明
  しなければならない。
・監査証跡のレビュは、承認プロセスの中の所定のデータレビュの一部でなければならない。
・監査証跡のレビュの頻度、役割と責任は、コンピュータ化システムに記録されたデータのGMP/GDPに関連
  する価値によるリスクアセスメントに基づくべきである。例えば、医薬品の品質に直接の影響を持つ
  電子データの変更に関しては、重大な決定(例:出荷判定)をするのに利用される前に、監査証跡の
  レビュが実施されることが期待されるだろう。
・規制を受けるユーザは、監査証跡をいかにレビュするか、何を探し、いかに検索するか等の詳細を述べ
  たSOPを制定すべきである。手順は、監査証跡のレビュを担当した職員が従うべきプロセスを詳細に決定
  すべきである。監査証跡のレビュ活動は、文書化され、記録されるべきである。
・監査証跡のレビュ中にみつかった、全ての期待される結果からの重大なばらつきは、完全に調査され
  記録されなければならない。手順には、監査証跡のレビュで、医薬品の品質やデータのインテグリティ
  に影響を与えうる重大な問題を確認した場合に取られるべきアクションを記載しなければならない。
1-期待を満たさない場合の潜在的なリスク/チェック項目
・電子データがその重要性(製品品質及び/または意思決定への影響)に基づいてレビュされていること
  を保証するための手順をチェックせよ。各レビュのエビデンスは記録され、査察官が利用可能でなけ
  ればならない。
・データ・サマリが内部または外部の報告のために使用される場合、それらのサマリがローデータと一緒
  に確認されたことを示すためのエビデンスが利用可能でなければならない。
・いかに第二のレビュや監査証跡のレビュが実施され、もし一連のレビュ中に問題がみつかった場合、
  どんな手順がとられるかをまとめた詳細のSOPを規制を受ける団体が持っていることをチェックせよ。
・グローバルなシステムが使用される場合、記録が同時に行われたことを示すために、タイム・ゾーン
  の記録を含む日時の記録が必要になるかもしれない。
・知られたデータに対する変更、修正、削除が、監査証跡機能により実際に記録されていることを
  チェックせよ。
2-期待
・会社の品質部門は、重要性とシステムの複雑性に基づき、継続的に監査証跡のレビュを実施するため
  の計画とスケジュールを制定すべきである。これらのレビュは会社の自己査察プログラムの中に組み
  込まれていなければならない。
・手順は、監査証跡の矛盾に対応し調査するために整っていなければならない。必要な場合、経営陣や
  国の当局に知らせる上申プロセスも含んでいなければならない。
2-期待を満たさない場合の潜在的なリスク/チェック項目
・自己査察プログラムは、存在している管理の効果とデータのレビュに関する内部手順に従っている
  ことを確認するために、監査証跡のチェックを含んでいることを確認せよ。
・監査証跡のチェックは、ランダム(偶然に選択される)なものと、的を絞った(重大性やリスクに
  基づき選択される)ものの両方でなければならない。

9.7 電子データの保管、アーカイブ、廃棄
1-期待
・データの保管は、安全でバリデートされた手順を使い、監査証跡を含む完全なオリジナルのデータと
  メタデータを含んでいなければならない。
・もしデータがバックアップされたり、コピーが作られたりする場合、バックアップやコピーも、
  データに対する許可されないアクセスや変更、削除や修正を禁止するための、オリジナルの保管と
  同じ適切な管理レベルをもっていなければならない。例えば、携帯用のハードドライブにバックアップ
  をとる会社は、そのハードドライブからデータを削除することを禁止しなければならない。データの
  保管とバックアップに関するいくつかの追加で考慮すべきことには以下のことが含まれる:
  -動的電子記録の真正なコピーは、全ての内容(すなわち、全てのデータとメタデータが含まれる)と
   オリジナルの記録の意味が維持されているという期待と共に作成することができる。
  -保管されたデータは完全に判読可能なフォーマットでアクセスできなければならない。データの
   保持期間中、電子的に保管されたデータのバックアップやコピーにアクセスするために、会社は、
   適切なソフトウエアとハードウエアを保持する必要があるかもしれない。
  -定期的なバックアップのコピーは、災害に備えて、離れた場所(物理的に離れている)に保管され
   なければならない。
  -バックアップデータはソフトウエアが新しいバージョンに更新されたり、より性能のよいバージョン
   に置き換えられたりしても、定められた法的な保持期間中はずっと、判読可能でなければならない。
  -システムは、メタデータと監査証跡を含む全てのデータのバックアップとリストアが可能でなけれ
   ばならない。
1-期待を満たさない場合の潜在的なリスク/チェック項目
・データのストレージ、バックアップ、アーカイブのシステムは、全てのデータとメタデータを保存
  するために設計されていることをチェックせよ。これらのシステムがバリデートされ、検証されて
  いることを示す文書化されたエビデンスがなければならない。
・廃止された、またはアップグレードされたシステムに関連するデータは適切に管理され、アクセス
  可能であることをチェックせよ。
2-期待
・記録の保持手順は、メタデータを保持する対策も含まなければいけない。これは、将来の問合せや
  調査のために、ロットに関して発生した活動を復元することを可能にする。
2-期待を満たさない場合の潜在的なリスク/チェック項目
・なし
3-期待
・データは、書かれた手順に従って定期的にアーカイブされなければならない。アーカイブのコピー
  は、バックアップとオリジナルデータが保管されている場所から隔離されて離れた場所で物理的に
  保護されていなければならない。
・アーカイブのすべての期間中、データはアクセス可能で判読可能で、そのインテグリティが保持
  されていなければならない。
・調査で必要とされた場合に備えて、アーカイブデータのリストアに関する手順が存在していなけ
  ればならない。アーカイブデータのリストア手順は、定期的に試験されなければならない。
・アーカイブのプロセスに関して設備が必要であれば、意図的またはうっかりした変更や喪失からの
  保護を保証するために、特別な環境管理や、許可された職員のみのアクセスが実施されなければ
  ならない。データへの長期のアクセスの問題が想定されるために設備内のシステムを廃棄しなけ
  ればいけない場合、手順は、アーカイブされたデータの継続的な判読可能性を保証しなければ
  ならない。例えば、データを別のシステムに転送する手段が制定されるかもしれない。
3-期待を満たさない場合の潜在的なリスク/チェック項目
・ソフトウエア・アプリケーションの更新や装置の廃棄により、データへのアクセスと判読可能性
  が失われる可能性があるので、アーカイブされたデータにはリスクがある。会社がアーカイブ
  されたデータにアクセスできて、アーカイブされたデータのレビュを可能にする必要なソフトウエア
  へのアクセスを保持していることを確認せよ。
・データのアーカイブに、外部やサードパーティの設備が利用される場合、これらのサービスプロバイダ
  はアセスメントが必要であり、全ての責任は、品質技術契約の中に記録されていなければならない。
 アーカイブされた記録のインテグリティを保証するための考慮がされていることを確認するために、
  契約とアセスメントの記録をチェックせよ。
4-期待
・コンピュータ化システムによって生成された全てのデータ(メタデータを含む)の判読可能で意味
  のある記録のプリントアウトが可能でなければならない。
・記録に対して変更がなされた場合、いつ、どのようにオリジナルのデータが変更されたかを示す記録
  の変更がプリントアウトできなければならない。
4-期待を満たさない場合の潜在的なリスク/チェック項目
・判読可能で完全な記録の生成に関してシステムがバリデートされたことを保証するために、システム
  のバリデーション文書をチェックせよ。
・プリントアウトのサンプルが確認されるかもしれない。
5-期待
・電子的に保管されたデータの廃棄に関するプロセスが記述された手順が整っているべきである。
  これらの手順はデータのアセスメントに関する手引きとデータの保持期間を提示し、また、もはや
  必要でないデータの廃棄の方法を記述しなければならない。
5-期待を満たさない場合の潜在的なリスク/チェック項目
・手順が明確にデータの廃棄の条件を規定し、そのライフサイクル中に必要なデータのうっかりした
  廃棄を避けるための対策が講じられていることをチェックせよ。

9.8 ハイブリッドシステムの管理
1-期待
・ハイブリッドシステムは、システムの複雑さと、潜在的に増加するデータの改ざんに対する脆弱性
  を反映して、特別の追加の管理が必要である。
・ハイブリッドシステムの各要素は、手動とコンピュータ化システムに関するガイダンスに従って、
  適格に管理されているべきである。
・システムに適用される管理方法の効果の評価、定義、証明をする場合、適切な品質リスクマネジ
  メントの原則に従うべきである。
・システムの主要な構成要素、各構成要素の機能、データ・マネジメントとインテグリティの管理、
  システムの構成要素の相互作用の方法の概要を述べたシステム全体の記述が利用可能でなければ
  ならない。
・手動と自動のシステム間のインタフェースを管理し、適切にコントロールするために、手順と記録
  が利用可能でなければならない。特に以下に関連する手順を含めよ
 -手作業で生成されたデータのコンピュータ化システムへの手動の入力
 -自動化されたシステムにより生成されたデータの紙の記録への転記(手動を含む)
 -プリントされたデータの自動検知と、コンピュータ化システムへの転記 
1-期待を満たさない場合の潜在的なリスク/チェック項目
・ハイブリットシステムが明確に定義されて識別され、システムの各要素がバリデートされている
  ことをチェックせよ。
・手動とコンピュータ化システムの間のインタフェースに対する注意が払われていなければならない。
  査察官は、システム間で手動の転記が行われる場合、適切な管理と第二のチェックが行われること
  を確認せよ。
・転記や加工の後に、オリジナルのデータは、保持されているべきである。
・ハイブリッドシステムは、一般に、コンピュータ化システムと手動のシステムの組み合わせから
  なっている。以下のことを確認するために特別な注意が払われるべきである:
  -コンピュータ化システムの適格性評価 及び/または バリデーションの範囲
  -手動のプロセスの一貫した適用の難しさによる、ハイブリッドシステムの手動の要素のマネジ
   メントに適用される管理の強固さ


◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
まとめ
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
いかがでしたでしょうか。

私は、久しぶりに、 “データフローマップ”や“システム台帳”という言葉を見て、メンテンナンスが
気になりました。厚労省のコンピュータ化システム適正管理ガイドラインが発出された頃は、これらの
文書の作成やメンテナンスに注意を払っていたのですが、昨今は新しい要件のほうに目がいってしまって
いるということはないでしょうか。

それ以外に、下記の点について、へー!と思い、対応状況の確認が必要であると感じました。
1.オペレーティング・システム(OS)やネットワーク部品のセキュリティ・パッチの適用や更新は、
    ベンダの提案に従いタイムリーに行うべきであること
    →<ポイント>ベンダの提案を前提としていること
2.セキュリティのためのUSBポートの管理が明記されているこ
    →<ポイント>ポートの管理や、USBメモリの使用の制限
3.管理者権限を持ったユーザは、システムで通常業務を実施すべきではない
  もし、するのであれば、日常作業用にアクセス権限の制限されたアカウントを作るべきであること
    →<ポイント>実際には、システム管理者が日常業務を行っているケースもあると思いますが、
      管理業務と通常業務でアカウントを分けほうがいいということ
4.ファイアウォールのルールをレビュすべきであること
    →定期点検等に織り込む必要があること
5.ユーザレビュのために、ログインの成功/失敗、ログイン成功時のセッションの長さ(接続時間)の
    リストが求められていること
    →ユーザレビュのためのリストの準備
6.監査証跡のレビュは、定期的に実施するだけでなく、承認プロセス中や、重大な決定の前にもされる
    べきであること
    →監査証跡は、定期的な実施だけでなく、日々の業務内でも必要であること

皆様も是非参考にしてみていただければと思います。

☆次回は、2/1(金)に配信させていただきます。


◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
おしらせ
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
弊社は、今年も、2月20日(水)~2月22日(金)に開催される医薬品・化粧品・洗剤 研究・製造技術展
インターフェックス大阪(会場:インテックス大阪)に出展します
ブースは、1号館【3-18】となります。
お時間がおありの方は、是非弊社ブースにお立ち寄りいただければ幸いです。
よろしくお願いいたします。


◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
★弊社サービスのご案内 
https://drmarketing.jp/cch/73/233/3/426/146792/4fc12f

★ブログ毎日更新中! 
◆ PROS.社長の滋養強壮ブログ 
https://drmarketing.jp/cch/73/233/1/426/146792/dcee42
◆ プロス橋本のブログ 
https://drmarketing.jp/cch/73/233/2/426/146792/66e037
※URLクリック数の統計をとらせていただいております。


本メルマガは、名刺交換させていただいた方に、毎月1日、15日(土日祝日に重なった場合 は前日)に
配信いたしております。
今後このような情報が必要ない方は、お手数ですが、こちらに配信停止依頼のメールをお願いいたします。 
hashimoto@e-pros.co.jp

【発行責任者】 
株式会社プロス 
ASTROM通信』担当 橋本奈央子