厚労省ER/ES指針に対する最新の解釈と対応すべき課題


ウェブセミナー システム信頼性保証の考え方

システム信頼性保証の考え方を研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

厚労省ER/ES指針に対する最新の解釈と対応すべき課題

1. はじめに

前回までは、コンピュータシステムを中心とした、いわば『しくみ』の信頼性保証について解説を行ってきた。本シリーズ最終回となる今回は、信頼性が保証された『しくみ』の上で扱われる「電磁的記録」および「電子署名」などの『電子文書』の信頼性保証に関して考察を行ってみたい。
土台となる『しくみ』の信頼性保証がぐらついていたのでは、その上に保持される『電子文書』の信頼性もおぼつかないことは言うまでもない。
『しくみ』の信頼性保証CSVであり、『電子文書』の信頼性保証が、平成17年4月1日付で発出された「医薬品等の承認又は許可等に係る申請等に関する電磁的記録・電子署名利用のための指針」(以下、厚労省ER/ES指針)であるといえる。
ちまたでは、ER/ES指針を解説したセミナーや書籍を見かけるが、21 CFR Part11(以下、Part11)をもとに類似的に解説したものが多い。筆者の最新の研究では、厚労省ER/ES指針 Part11とは大きく一線を画すものであるといえる。 Part11を多分に引用していることもあるが、 Part11にとらわれていると、その本質が見えないことになる。または誤解してしまい、間違ったガイドラインの作成や対応を行ってしまうことになる。
厚労省ER/ES指針を正しく理解するためには、「電子署名及び認証業務に関する法律」(平成12年5月31日法律第102号 以下、電子署名法)、「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」(平成16年法律第149号。以下「電子文書法」)、「厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令」(平成17年3月25日厚生労働省令第44号、以下「省令44号」)などの関連する法令をまず理解する必要がある。

2. 法令と厚労省ER/ES指針

厚労省ER/ES指針は、「電子署名法」「電子文書法」および「省令44号」の下位に存在する(図1参照)。その意義は、薬事法の趣旨を踏まえ、電磁的記録による申請資料等の信頼性を確保するため、いわば追加要件として通知されたものである。
したがって上位の法令を正しく理解することは、重要である。


図1 電磁的記録電子署名に関する法令

3. 電子署名法とは

電子署名法は、2001年4月から施行された。インターネットなどのようなオープンなネットワーク環境では、相手の顔も見ないで商取引が行われることがある。つまり相手が本人であるかどうかの確認が困難である。また電子文書には押印することが出来ない。そのため電子署名法では、電子署名とその認証に関する規定を定め、電子署名手書き署名や押印同様に通用する法的基盤を整備したのである。この法律によって、一定の電子署名をされた電子文書は、手書き署名や押印をされた文書と同等の効力を持つようになった。
電子署名法3条には「電磁的記録の真正な成立の推定」が規定されている。「電磁的記録であって情報を表すために作成されたものは、当該電磁的記録に記録された情報について本人による電子署名が行われているときは、真正に成立したものと推定する。」とある。
推定を受ける電子署名は、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」とある。法的に有効な電子署名の認証は特定認証業務と呼ばれ、一定の条件を満たして国から認定を与えられた事業者(認証局)によって行なわれるものと規定されている。

4. 電子文書法とは

電子文書法は、2005年4月から施行された。電磁的記録による「保存」「作成」「縦覧」「交付」について規定している。
この法律により、電子文書がこれまでの「共有情報」という位置付けから「裁判で使える証拠」とできるようになった。
民間への紙による文書保存義務について、医療機関のカルテなど、原則全て電子保存を容認(運転免許証、損益計算書や貸借対照表、高額の領収書などは除く)している。
画期的なことは、電子署名法では初めから電子文書として作成された文書(電子文書)を対象としていたのに対し、電子文書法では、紙の文書をスキャナで読み取った画像データも一定の技術要件を満たせば原本と見なすことを認めたことである。
例えば領収書を電子保管するための要件(国税庁)は、以下のような条件がある。

  1. 電子化装置はカラースキャナで、解像度は200〜300dpiであること
    カラースキャナを義務つけるのは修正インクなどで改ざんされた場合でも、判別できるようにするためで、解像度が200〜300dpiは、4ポイントの字が読める程度である。
  2. 特定認証局から発行された電子署名とタイムスタンプ・電子証明書をつけること
  3. 見読性・検索性が確保できていること
  4. ファイル形式はPDFまたはTIFFであること

電子文書の作成・保存における課題として「見読性」「完全性」「機密性」「検索性」などの確保が挙げられるが、電子文書法が対象とする文書にはさまざまなものが含まれ、それぞれ内容・性格が異なるため、見読性や完全性などを確保するための要件は必ずしも共通しない(表1参照)。

 

内 容

技術要件/対応手段

完全性
Integrity

真正性
Authenticity

文書の作成者・作成時期、紙文書などと電子化した文書が同一であることが確認できること。

電子署名、タイムスタンプ

保存義務期間中に文書が改ざん・消去されないこと、改ざんされたことが確認できること。

保存性

保存義務期間中に文書が消失、破損しないこと。

WORMデバイス、アーカイブ

見読性

作成・保存した文書を表示・印刷でき、内容が確認できること。

ファイル形式、イメージ解像度・階調、文字コード

機密性
Confidentiality

文書の盗聴を防止できること。

アクセス制御、暗号化

検索性
Retrieval

必要に応じて求める文書を探し出せること。

 

それらの要件の対応方法は、対象文書によって大きく異なるため、電子保存の具体的な方法や要件については、電子文書法では規定せず、文書内容の重要性や消失・改ざん・漏えいなどが発生した場合の影響の大きさなどによって、各省庁が省令によって定めている。
厚生労働省では、平成17年3月25日に「厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令」(厚生労働省令第44号)が出された。

5. 厚生労働省令第44号とは

電子文書法により「電磁的記録による保存」について、各主務省令により定めることになっており、厚生労働省令第44号が制定された(図2参照)。
この省令は、厚生労働省の所管する法令に係る保存等を、電磁的記録を使用して行う場合に適用され、電磁的記録により保存できる書面を定義している。
「他の法律及び法律に基づく命令(告示を含む。)に特別の定めのある場合を除くほか」とあり、厚労省ER/ES指針の要件も満たさなければならない。(省令44号厚労省ER/ES指針を比べて、より厳しい要件を満たさなければならないことになる。)


図2 電子文書法と厚生労働省令第44号

本省令により、基本的にGxP省令で定める書面はすべて電磁的記録による保存が認められている。ただし電子的に保存しても良いが、電子的に作成できない書面もあるので注意が必要である。
法令により定められた書面を電磁的記録により保存する場合は、以下の2つの方法がある(図2参照)。

  1. 最初から電磁的記録録により作成する場合
  2. 紙の書面をスキャナにより読み取った場合

電磁的記録電子文書法や本省令の趣旨に従って運用する限り、紙の書面は破棄できることになる。
省令44号では、スキャナで取り込んだ書面に電子署名を付す事を求めていない。(国税庁などはスキャン時に電子署名を付す事を義務付けている。)
また省令44号では、GxP省令における記録・文書等の電磁的記録録による保存について、[見読性」の要件を満たすことを求めているが、「完全性」「機密性」「検索性」に関しては要求していない。ちなみに厚労省ER/ES指針では、「真正性」「見読性」「保存性」の3つの要件を求めており、省令の要件よりも厳しくなっている。
省令44号における「電磁的記録による作成」は、最初から電子的に書面を作成する場合をいう。コンピュータ上のワープロ等を使用し、電子ファイルを作成すること(コンピュータによって計算され、ファイルが自動作成される場合を含む)をもって作成としている。
スキャナで電子化する作業は「保存」であり「作成」ではない。つまりスキャナで取り込んだ人(作業者)が電磁的記録による文書の作成者とはなり得ないのである。
なおGCP省令における「監査証明書」の電子形式での作成は認められているが、「監査報告書」の電子形式での作成は認められていない。書面をスキャナで取り込み、電磁的記録により保存することは認められている。
紙の書面において、法令が署名を求めている場合、作成時(当初から電子形式で作成する場合のみ)において、紙の署名に相当し、同等の法的拘束力を持つものとして電子署名を使用することが規定されている。
当初から電子形式で作成した文書には捺印を付す事ができない。したがって捺印に代わるものとして電子署名を義務付けている。電子署名は、当該情報が当該措置を行った者の作成に係るものであることを示し、かつ改変等が行われていないことを証明できるものでなければならない。

6. 厚労省ER/ES指針理解のポイント
6.1 Part 11との相違点

ともするとPart11厚労省ER/ES指針は同じであると考える向きがある。しかしながら、前述の通り厚労省ER/ES指針は上位の法令を参照しており、必ずしもPart11と一致しない。
Part11では記録を対象としているが、厚労省ER/ES指針では、「資料」および「原資料」(以下、資料等)を対象としている。すなわち、本来紙媒体に印刷し保存するべき資料等をpdfなどの電子形式で出力しておき、電磁的記録媒体による保存を行う場合に適用される。個々の記録である「電子データ」を対象としているものではない。あくまでも書面の形式となりえるものが対象となる。もちろん資料等を作成するための電子データの信頼性を確保するために、コンピュータシステムバリデーションCSV)を実施しておかなければならないことは言うまでもない。

6.2 電子ファイルのライフサイクル

電子ファイルは、作成→処理→保存→廃棄といったライフサイクルを経る(図3参照)。
「作成」は、ワープロや表計算ソフトなどにより行われる。
「処理」では、レビュ承認を経て電子署名が付される。ちなみに電子署名を行わず、紙媒体に印刷して、手書き署名または記名・捺印を行うことをハイブリッドシステムという。
「保存」では、電磁的記録媒体により保存が行われる。いったん保存状態になった電子ファイルでも、何らかの事情により「処理」に戻され修正が行われる。修正された電子ファイルは、再度「保存」されるが、この際、修正前の電子ファイルを上書きしてはならない。
更に「保存」にはActive状態とArchive状態に区別される。Active状態では、頻繁に参照され、修正が行われる事もあり得るが、Archive状態は参照頻度が少なく、修正も行われない。
いわばArchive状態は、紙媒体における資料保管庫からダンボールに移す行為に例えられる。
「廃棄」では、保存期間が終了した電子ファイルをセキュリティに注意した上で、廃棄する。なお電子ファイルの保存期間は紙媒体における保存期間と同じである。


図3 電子ファイルのライフサイクル

6.3 紙媒体との比較

本シリーズで繰り返し述べてきたように、電子化の基本原則は「データの品質および品質保証は、紙ベースのオペレーションがコンピュータ化された際に劣化してはならない。」ということである。
Part11厚労省ER/ES指針では、紙媒体と同等の品質品質保証を求めている。言い換えれば、これらの規制要件を理解するためには、「紙だったらどうだろうか」と考えてみれば良いことになる。つまり厚労省ER/ES指針を遵守し、電磁的記録および電子署名の信頼性を保証する場合、その信頼性のレベルを紙媒体での記録や捺印と同等に維持すれば良いということである。
紙媒体での保存や申請等を、電子媒体にした場合でも、これまで紙媒体で行ってきたものと同等レベルの信頼性を確保することが望まれるのである。電子媒体にしたからという理由で、より厳しい信頼性保証レベルを実現する必要性は無い。ただし本稿で解説したように、電子媒体では紙媒体には無い要件が含まれるので、注意が必要である。

6.4 セキュリティ

FDAは、Part11の前文コメント88で次のように述べている。
電子記録および電子署名は、(とりわけ、識別コードとパスワードは)従来の文書による記録と手書き署名に比べ重要性や正式性が低いと、一般に認識されている可能性がある。したがって、各人とも電子記録が偽造された場合の重大性を文書記録の偽造の場合と全く同等に重大なことであると考えないかも知れない。従業員は署名や記録偽造の重大性とそれがもたらす結果を理解する必要がある。従業員に正直であることを規則で要求してもそれが保証されるものではないことにFDAも同意見であるが、従業員が電子記録電子署名の真実性を維持することの重要性を確実に理解するようにするには、強い責任感と義務感をもつことを方針として示すことが必要である。」
FDAが主張していることは次のようなものである。

  1. 電子記録および電子署名は、重要性や正式性が低いと考えてしまう。
    例えば、重要な電子ファイルを誰でもがアクセスできるような、ファイルサービス上に置いていないだろうか。これは、いわばテーブルの上に書類を放置していることに等しい。誰でもが改ざんできる状態においてあるようなものである。電子ファイルも紙媒体同様、鍵のかかる環境で保存しなければならない。つまりセキュリティに十分配慮しなければならないのである。
  2. 電子署名を軽んじてしまう
    例えば、
    1. 内容を見ずに承認してしまう。
      手書き署名と同等に責任を持つ行為であるという認識が薄くなる。
    2. 他人にパスワードを教え承認ボタンを押させる。
      手書き署名では出来ないことである。
    3. 事後否認をする。
      手書き署名のように筆跡が残らないので、事後になって自分の行為ではないと主張してしまう。
6.5 保存のタイミング

紙媒体による「保存」を電子媒体に変更したからという理由で、保存のタイミングが早くも遅くもなるものではない。
紙媒体による保存の場合、承認された資料(場合によっては原資料)を、鍵のかかるキャビネットに整理して置く状態を「資料の保存」としているだろう。
電子媒体での保存の場合も同様で、承認された文書をCD-Rなどの電磁的記録媒体に記録し、鍵のかかるキャビネットに整理しておくことをいう(図4参照)。


図4 電磁的記録による保存

ただし一般的に多くの業務において、CD-Rなどのリムーバブルメディアを利用して記録を保存することよりも、コンピュータシステムに接続されたハードディスク上に保存するケースの方が多い。
規制要件上正とする資料を、ドキュメント管理システムなどのセキュリティがかかったデータベースに、ストア(チェックイン)することを「資料の保存」ととらえても良いと考えられる。
大げさに考えない方が良いのは、資料作成途上において、(昼休みや退社時に)自身のPC上に一旦セーブすることを「保存」と定義しないことである。
あくまでも会社として正式(つまりSOPで定められた)な「資料の保存」を指していると理解したい。

6.6 用語の理解

厚労省ER/ES指針や関連法令を理解する際に、用語の定義を正確に理解することが大切である。
特に誤解が多い用語に関して整理しておく(表2参照)。

1

真正性

真正な記録とは、次のことを立証できるものである。
(1) 記録が主張しているとおりのものであること。(本物)
(2) それを作成又は送付したと主張するものが、作成又は送付していること。
(3) 主張された時間に作成し、送付していること。

2

見読性

電磁的記録の内容を人が読める形式で出力できること。
(1) ディスプレイ装置への表示ができること
(2) 紙への印刷ができること
(3) 電磁的認録媒体へのコピーができること

3

保存性

紙媒体による保存の場合は、ほぼ永久的に資料が維持できる。ところが、電子媒体の場合は、経年劣化が問題となる。目的とする保存期間に応じた適切な保存環境を設定することが重要である。以下のいずれかを選択すること。
(1)保存環境の整備コストを掛け、長期間の保存に対応する
(2) 保存コストを抑え、保存環境に応じた保存期間内で使用し、その期間を越えた場合、マイグレーションを行なう。

4

作成

作成とは、記録を最初からディジタル形式で作成することを指す。紙で存在する書面をスキャナで取り込む場合は、作成という行為は(電子的には)存在しない。

5

作成者

作成者とは、自ら内容を作成し、作成した内容に責任を持つ者を指す。書面をスキャナで取り込み、電磁的に保存する場合、スキャナを操作した者は作成者とはならない。

6

保存

保存とは、電子化された書面(スキャナーで取り込んだものを含む)を磁気ディスク等に保存することを指す。あくまでも真正に成立した後にである。作成途上のもの(ドラフト)を維持している状態は保存に当てはまらない。ましてや、アプリケーションの保存ボタンを押す行為とは全く違う。

7

バックアップ

アクティブなデータベースの複製(Duplicate)である。目的は災害時に復旧ができることなどである。電磁的記録は重要であることから、以下の運用を行なう必要がある。
(1) 媒体の正副2重化以上の多重化を行なうこと。
(2) 災害対策用に別地で媒体保管を行なうこと。
一般に、マグネチックテープにバックアップをとることが多い。マグネチックテープは、検索などの用には適さない。またバックアップは、適宜更新される。したがって「バックアップ」と「保存」は目的が異なる。
電子媒体の場合の保存は、多くの場合、ハードディスク上で行われる。したがって保存性を確保するために製薬企業がまず検討しなければならないのは、コンピュータシステムに接続されたハードディスク上の電磁的記録である。
「バックアップ」はそのハードディスクのデュプリケートであり、災害の際などの復旧を主な目的とする。したがってマグネチックテープなどは「保存」の目的には適切ではない。
厚労省ER/ES指針では、「バックアップ」は「真正性」の要件であり「保存性」の要件ではないことに注意すること。

8

アーカイブ

紙によるアーカイブは、資料保管庫の棚からダンボールなどに移して保存することをいう。これは申請および調査が終了したなどによって、あまり参照されなくなった資料に適用する。
電子の場合も同様で、変更しない(インアクティブ)データを別のストレージ(ハードディスク)に移行することをさす。このことにより、アクティブなデータベースを常に最適な状態(ボリューム、検索スピード、バックアップ時間)に維持できる。ただし、アーカイブは検索ができる状態ではある。
アーカイブデータベースは更新頻度が少ないため、アクティブデータベースほどは頻繁にバックアップを行う必要性はない。

9

コピー

電磁的認録媒体へのコピー」の意味を誤解している人が多いようである。最も多い誤解としては、データベースのダンプをCD-Rのようなメディアにコピーすることだという理解である。これは明らかに間違いである。(Computerized System Used in Clinical Trials 12. 記録と記録検査のコピー 参照)
FDAでは、短期間の査察時間では十分な量のデータを調査しきれないため、電子記録を持ち帰りたいという意向がある。その際にオラクルのようなデータベースをそのまま持って帰っても、その目的は適わないのである。
また紙媒体で持ち帰ろうとすると、大量になる上、持ち帰った際に検索等ができない。
紙に印刷するかわりに、pdfやxmlのフォーマットで出力して欲しいと言うことである。その他、コピー可能なフォーマットとしては、SASのデータセット、EXCEL、Word、プレーンテキスト等が考えられる。

7. 電子署名とは

電子文書の正当性を保証するために付けられる署名情報である。文字や記号、マークなどを電子的に表現して署名行為を行なうこと全般を指す。
書面に対する押印と同じ効力を持つものである。紙の書面には押印ができるが、電子ファイルには押印ができないため、電子署名を法的に認めたものである。
電子署名法において「電子署名」とは、電磁的記録に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。

  1. 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。(本人性証明)
  2. 当該情報について改変が行われていないかどうかを確認することができるものであること。(非改ざん性証明)

特に、公開鍵暗号方式を応用して、文書の作成者を証明し、かつその文書が改ざんされていないことを保証する署名方式のことを「ディジタル署名」という。

実は厚労省ER/ES指針電子署名の定義とPart11電子署名の定義は異なる。厚労省ER/ES指針では、4.(1)で「電子署名及び認証業務に関する法律(平成12年5月31日法律第102号)に基づき、電子署名の管理・運用に係る手順が文書化されており、適切に実施していること。」と記載されており、電子署名法でいう電子署名と定義が同じであることがわかる。一方、Part11では、ユーザIDとパスワードの組合せまたはバイオメトリックスにより、真の所有者のみが行える行為を電子署名と定義している。この方法では、上述した2つの要件のうち1) の「本人性証明」しか満たせない。つまりPart11の定義する電子署名では、2) の「非改ざん性証明」ができない。
したがって製薬企業内において「電子署名」という用語を使用する場合、電子署名法省令44号厚労省ER/ES指針針の定義を使うか、Part11の定義を使うかを明確にしておかなければならない。
電子署名に法的効力を認めるかどうか、また、どの方式を電子署名として認めるかといった事項は、国によって異なる。アメリカなどでは州によっても異なる場合がある。
電子署名は、認証局(CA)による電子証明書を伴わない場合、当該情報が当該措置を行った者の作成に係るものであること証明することができない(主張することはできる)。また第三者による改変の事実は発見できるが、本人による改変は見抜けない(この場合第三者によるタイムスタンプが必要となる)。
電子署名は紙社会における印鑑に相当する。紙社会においても、書面の重要性に応じて、三文判でも良いのか、実印が必要なのかが変わってくる。電子の世界でも同様のことが言える。電子文書の重要性に応じて、認証局(CA)の認証(電子証明書)を伴う電子署名(つまり実印に相当する)を利用するのかしないのかを判断すれば良いことになる。
当然のことながら副作用の電子報告に見られるように、規制当局がCAの認証を伴う電子署名(実印)を求めている場合は、それに従わなければならない。

8. おわりに

本シリーズは、今回で最終回である。コンピュータシステム信頼性保証の考え方について、大所高所の立場から解説を行ってきた。
筆者が伝えたかったことは、日本の企業の多くは品質の向上に関して相当に努力しているが、品質保証に関して正しく理解がされていないか、または実施されていないということである。
このシリーズはコンピュータシステムに関連して解説を行ってきたが、その品質保証に関する考え方は、色々な業務に通じるものである。
読者各位が本シリーズを通じて、品質保証の考え方を理解し、日々の業務に生かしていただければ至上の喜びである。
次号からはシリーズを改め「CSV実践講座」として、具体的なCSV文書の作成方法を解説していく予定である。

参考