11.10
(a)正確性、信頼性、意図した性能の一貫した確保、ならびに無効となったり変更されたりした記録を識別する能力が保証されるようにするためのシステムのバリデーション |
電子記録及び電子署名、あるいはその一方を支援するシステムについては、バリデーションを実施しなければならない。
このバリデーションは、正確性、信頼性、あらかじめ決めた性能の確保、無効になったり変更されたりした記録を識別する能力等を保証するために実施する。
「無効となったり変更されたりした記録を識別する能力が保証されるようにする」とあるので、当該システムには監査証跡の機能が備えられていることが必須で、監査証跡機能のバリデーションも実施しておくこと。
(FDAは、監査証跡機能がないシステムはノンバリデートと定義している。)
電子記録及び電子署名、あるいはその一方を支援するシステムについては、バリデーションを実施しなければならない。
(b)FDAの査察、審査、複写に適した、人間の目で読める形と電子形式の両方で記録の正確かつ完全なコピーを作成できること。FDAが電子記録の審査および複写を行うことができることというこの要求について分からない点がある場合には、FDAと連絡をとること。 |
FDAは、記録がいかなる方法によって作成・維持されていても、査察時に調査する権限を有している。
従って、電子記録は、判読可能な形式で、電子的なコピーができるようにしなければならない。
完全なコピーとあるので、電子記録(生データ)に加えて、監査証跡や電子署名もコピーできなければならない。
FDA はこの要件につき、多くの企業の場合10 年を超える期間となる記録の保管期間を通して、この要件を満たすことを要求している。
FDA は、査察に際し電子記録を見ることができ、電子形式でコピーすることができることが不可欠であるとしており、電子記録の代わりに紙媒体による印字出力を受け入れることはない。
FDA は一般大衆の健康を守る責任を果たすために、業界と同じ技術レベルで彼らが業務を遂行することは絶対に必要なことであると考えている。
例えば、もし企業側からは紙媒体での記録しか提出されないとすれば、FDA としては電子式の有用情報分析ツールを使って電子記録の検索、傾向分析などを行うことができない。
現在使われているハードウェアおよびソフトウェアのライフサイクルはGxPの記録保管条件よりずっと短い期間であることを考えると、どのようにすれば記録の保管期間全体を通してこの要件を満たすことができるかは難しい問題となる。
FDA の査察官が電子記録を見ることができるようにするためだけの目的で、使用しなくなったコンピュータシステム(設備・機器を含む)をそのまま保有し続けるということは不合理である。
したがって、電子記録をあるシステムから別のシステムヘと移行(データマイグレーション)する方法も検討しなければならない。
つまり、これにより使わなくなったハードウェアやソフトウェアを廃棄できることになる。
しかし、電子記録の完全な移行(生データ+監査証跡)は、困難を伴うことが多い。
データを1 つのシステムから別のシステムへと移行するのに使われるデータ変換プログラムは、移行された電子記録が元の記録の正確で完全なコピーであることを立証するためにバリデーションを実施しなければならない。
FDAの査察が行われるまでの間、コンピュータシステム(設備・機器を含む)をそのまま保有し続ける方法のことを「タイムカプセルアプローチ」と呼び、データを新システムに移行する方法のことを「マイグレーションアプローチ」と呼ぶ。
もう1 つの問題は、FDA が現場でなくても電子記録のチェックを行うことができるようにするために、要求があればFDA に電子記録のコピーを提供する必要があるということである。
当該ソフトウェアが自社開発のものである場合、FDA が数多くの自社開発されたさまぎまなファイルフォーマットをどれでも読めるようにしておくことは実際的ではない。
したがって、FDA は電子記録のコピーをpdf、XML、テキスト(ASCII)ファイルのような共通のフォーマットで提供するように要請している。
したがって、コンピュータシステムには電子ファイルを共通のフォーマットに出力する機能があることが期待されている。
(c)記録の保管期間を通じて記録の正確で容易な検索を可能とするような記録の保護 |
電子記録は、保護対策を講じなければならない。
FDA が特に関心を持っていることは、電子記録が紙媒体と同じように、保管期間中いつでも査察官が見ることができるようになっており、また、悪影響を与える環境から保護されていることである。
この条文は、保管した電子記録に対するアクセスを許可された者のみに限定して、電子記録を壊す可能性がある良くない環境に対する保護など保管中の記録を保護する対策を講ずるよう要求している。
つまり物理的なダメージ(例:CD-Rを割る等)から電子メディアを保護すること。
アーカイヴした電子記録は、当該システムが変更(例:ソフトウェアのバージョンアップ)された場合においても、読み出せることを保証しておかなければならない。
電子記録は、現場での検索、閲覧ができることを条件に、物理的な保管を現場ですることは要求されていない。
地理的に数ヶ所に分散している事業所のものを1 ヶ所の電子記録保管システムに集約する場合が多い電子記録システムにとって、このような融通性は特に重要である。
また電子記録は、次のような事態を想定してバックアップを行うこと。
• システムの障害(ハードディスクの故障等)
• 激甚災害(台風や地震による建物の倒壊等)によるシステムの破壊
• 火災や漏水等によるシステムの損傷
• 人為的なシステムの破壊
(d)システムへのアクセスを許可された者のみに限定すること。 |
システムへのアクセスは、権限のある個人に限定しなければならない。
電子記録を保持するシステムへのアクセスは、物理的(例:サーバールーム等の施錠等)または論理的あるいは両方によるセキュリティメカニズムにより制限されなければならない。
このための広く使われている方法にはキーや、パスワード、個人コードの使用、コンピュータ端末へのアクセスの制限などがある。
また、システムへのアクセスを許可されたものは、管理台帳等により管理しておかなければならない。
サーバルーム等への入退室は、記録しなければならない。
(e)オペレータのログオン日時や、電子記録を作成し、変更し、削除する行為を独自に記録する安全確実な、コンピュータ生成のタイムスタンプ付き監査証跡の使用。 |
データの作成、変更、削除の記録を、システムにより自動的に作成されたタイムスタンプ付きの監査証跡として残さなければならない。
電子記録の監査証跡は電子記録を構成しているメタデータの一部であり、既存法規等により規制される記録と同一の監査および保存の要件が適用される。
FDA は、変更や削除ができない「消せない」コンピュータ生成の監査証跡を要求している。
(f)必要に応じ、操作に関するシステム・チェックを実施し、手順と処理が所定の順序通りとなるようにすること。 |
該当する場合は、システムチェックを実施しなければならない。
この条文では、コンピュータシステムが順序の検証をすることを要求しているが、この検証はどんな場合にも必要ということではない。
一定の順序が必要とされる製造手順や重要な作業でその開始前と終了前に承認を必要とする場合、などに、順序管理が必要とされることになる。
(g)システムの使用や、記録への電子署名、操作システムやコンピュータシステムの入出力装置へのアクセス、記録の変更、または手元の操作を行うことができるのは、権限がある要員のみに限られるように、権限チェックを利用すること。 |
権限のある者だけが電子記録や電子署名にアクセス(参照・変更・削除・送信・印刷等)ができるように、権限設定ルールを定め、また定期的にチェックを行わなければならない。
これはどのコンピュータシステムでも基本的なセキュリティ上の要件とされているもので、通常ユーザ・アカウントおよびユーザ権限で対応する。
ユーザ・アカウントにより、一定の情報へのアクセスおよび読取り専用、書込み、削除など一定の操作を行うユーザの権限が定められる。
各システムユーザーにはユーザーID とパスワードが割り当てられ、アカウントヘのアクセスが制限される。システムヘのアクセスができるのはアカウントをもったユーザーだけである。
(h)適宜、データ入力や操作の指示の根拠となっている事項の有効性を判定するために(端末装置等の)装置チェックを利用すること。 |
該当する場合は、デバイスチェックを実施しなければならない。
この要件はどんな状況にも適用することを意図したものではなく、適用されるのは情報源を制限することが必要な場合だけである。
この例として、製品バッチについて出荷判定および承認ができるネットワーク上の端末を挙げることができる。
このような状況では、バッチの出荷指示が出される都度、その指示があらかじめ指定された端末から出たものであることを確かめ、必ずそうであるようにするために、システムが装置チェックを実施するようになっていることが必要である。
もう1 つの例は、ワイヤレス・ネットワーク(例:温湿度管理システムの子機と親機)に関するものである。
ワイヤレス・ネットワークの場合は、配線を目視で確認することができない。正しいデータを受け取るためには、当該装置からのものだけとなるように、装置のチェックを実施することが必要となる。
(i)電子記録/電子署名システムを開発したり、保持したり、あるいは使用したりする者は、自らに割り当てられた職務を遂行するための教育、訓練を受け、経験を積んでいることの確認。 |
システムを開発する職員、システム管理責任者、ユーザー等は、必要な教育(Part11教育を含む)を受講し、その教育記録を残さなければならない。
単にシステムを使用する者だけではなく、システムの維持と開発に関わっている者(ベンダーを含む)もその対象としている。
FDAは、システムの維持と開発に関わっているIT要員と技術支援要員はすべてそれぞれに割り当てられた職務を遂行するのに必要な経験と資格を当然有しているものと考えている。
このことは、IT要員は適用されるFDAのGxP 規則およびPart11 についての教育・訓練を受け、その記録が保管されなければならないことを意味している。
必要に応じ、コンピュータシステムを運用し、開発し、維持するための名自の手順書につき訓練を実施する必要がある。
ユーザーと信頼性保証部門は、必要に応じてシステムを提供する業者について、監査を行わなければならない。
ベンダーオーディットの方法には、業者を訪問する場合と書類による場合がある。
(j)記録および署名の偽造を阻止するために、各個人がその電子署名の下に実施した行為に対し、その個人に責任と義務を負わせる方針書を作成し遵守すること。 |
電子署名の下で行った行為は、手書き署名と同等の法的拘束力を有し、署名者本人が責任を負わねばならない。
この要求に沿うためには、組織として電子署名の使用についての方針書(ポリシー)を定め、そのポリシーを実施に移す必要がある。そのポリシーは電子署名を実施する際のパスワード等の秘密保持の重要性を説明するとともに、従業員は電子署名の下に行う行動について責任を有するものとする。
従業員に方針についての教育訓練を受けさせるようにし、その教育訓練については適切な文書化がされていなければならない。
(k)システム関係の文書化に対し適切な管理を行うこと。これには下記が含まれる。 |
システムの運用、操作及び保守に関する文書は、適切に管理しなければならない。
システムの日常的に行なう運用および維持に関する手順書が用意されていなければならない。
システム関係の書類が紙媒体のものである場合には、標準的なGxP文書管理システムであれば、ほぼこの条文の要件を満たすことができると思われる。
しかし、書類が電子形式で保持されている場合には、電子監査証跡を使用することが必要となる。
書類がベンダーから提供され、ユーザーでは改訂できない場合には、この要件はユーザには適用されないとFDA は述べている。
しかし、ベンダーは当然何らかの種類の文書変更管理システムをもっているものとFDA は考えており、ユーザー側で監査の一環としてその事実を確認する必要がある。
11.30
電子記録を作成したり、変更したり、保存したり、伝達したりするためにオープンシステムを使用する者は、電子記録の作成からその受領までの局面において、電子記録の真正性および完全性、さらに該当する場合には機密性も含めて、これらが保証されるように考案された手順と管理要領を使用しなければならない。この手順および管理要領には、適宜セクション11.10に明記されているものを含め、また、状況により必要とされる場合には、記録の真正性、完全性ならびに機密性を保証するために、文書の暗号化や適切なデジタル署名規格の利用等の方策を追加として含めることが必要である。 |
オープンシステム(インターネット)を利用する場合は、クローズシステムの管理要件に加えて、電子記録の暗号化及びデジタル署名等の安全策を行わなければならない。
インターネット上には、盗聴/改ざん/なりすましといったリスクが存在する。
FDA としては、オープンシステムの管理はクローズドシステムの場合より厳しいものとなり、その管理にはクローズドシステムの要件を含むものと考えている。オープンシステムとする場合に、クローズドシステムの場合の管理のどれかを省いた場合には、当社はその正当性を示す責任がある。
オープンシステムの場合には、2種類の技術(暗号化とデジタル署名)による管理が追加的に必要になると要求している。
WEBシステムの場合は、SSLを使用することにより、暗号化とデジタル署名を容易に使用することができる。
暗号化とデジタル署名は、しばしば組み合わされて使用され、データのセキュリティを保証するものとして最も効果的な方法の一つである。
暗号化によって、インターネット上において、盗聴されにくくすることができる。
暗号化とはデータを暗号に変換することであると定義できる。暗号化されたファイルを読むためには、秘密のキーまたはパスワードを使わないとファイルの解読ができない。
デジタル署名は、電子記録の送信者に独自のものであり、したがってこれにより改ざん/なりすましを防止することができる。
11.50
(a)署名された電子記録には、下記事項のすべてを明確に示す署名に関連した情報が含まれていなければならない。 |
電子署名された電子記録には、署名者の氏名、署名の日時、署名の意味(作成・承認・責任等)を含んでおり、判読可能な形式で出力できなければならない。
本条文では、電子記録中に表示されなければならない電子署名と関連した情報とは何かを示している。
一般的には、これらの情報は文書によるシステムには含まれているものであるが、FDA は偽造の発見が容易にできるようにするために、時間に関する要件を追加して含めている。手書き署名の場合、署名の日が含まれるだけで、署名が行なわれた時間までは対象となっていない。
記録のどの部分にその電子署名が適用されるのかが明確になっている限り、電子記録のまたは電子記録の印字出力の各ページにこの署名関係の情報が表示されなくてもよい。
この方式は、SOP の表紙に手書きの署名があれば全体の内容につき承認したことが示され、そのSOP のページ数が(例:1/7 頁のようにして)示される紙使用の記録の場合と類似した考え方である。
11.70
電子記録に付された電子署名および手書き署名は、通常の手段で電子記録を偽造する目的でこれらの署名を行ったり、コピーしたり、その他何らかの形の移転をしたりすることができないようにするために、ぞれぞれの電子記録とのリンク付けがなされなければならない。 |
偽造目的での署名の削除や複製、変更等ができないように、電子署名及び手書き署名と対応する電子記録をリンクさせなければならない。
電子記録と電子署名間に恒久的なリンクがあり、11.50 に記載されている情報が電子記録に表示されている限りにおいて、電子署名を電子記録自体に組み込むことは必要とされない。
記録に電子署名またはユーザーIDなどの電子署名の一構成要素を表示するだけで、また、リンクが11.50 で要求されている情報へのものだけというのは受け入れられない。
電子署名は、コピーや削除の防止ができるような安全確実な方法で、記録へのリンクがはられていなければならず、また、このリンクは記録の保存期間中常に維持されていることが必要である。
したがって、署名された電子記録をあるシステムから他のシステムへと移行させる際には、電子署名へのリンクが損なわれないようにすることが必要である。
「電子記録に付された手書き署名―――」のところの文章は、スタイラスペンによるサインなどの方法で電子記録に付された手書きの署名もその対象になるようにとの意図からきている。
手書き署名の定義の条項で示されているように、スタイラスペンでのサインは手書き署名とみなされ、したがってPart11 の電子署名に関する要件は適用されない。
しかし、署名と電子記録とのリンク付けはこの条項に従うことを要し、電子署名の入っている電子記録はPart11 の電子記録の要件に合致していなければならない。
11.100
(a)電子署名はそれぞれが一個人に独自のもので、他の者により再使用されたり、他の者に再割り当てされたりしてはならない。 |
電子署名を利用する場合には、割り当てる前に個人の身元を確認しなければならない。また、いかなる電子署名も特定の一個人に限定され、複数の者に割り当てたり、別の者に再割り当てしてはならない。
ID コードとパスワードを使って行なうログオン・トランザクションと電子署名トランザクションの違いを明確に理解する必要があり、ユーザーが電子署名を実行しているのはどの時点か、電子署名の実行に伴う責任は何かを認識しなければならない。
注)本条項は、1997年当時の状況において制定された。米国は合衆国であるため、州法が優先される。
当時は、電子署名が有効であると認める州と、認めない州があった。そこで、FDAは、電子署名を使用する際には、宣誓書を提出させることにした。
多くの企業は本宣誓書を提出しなかたが、これまでワーニングレターは1件も出ていない。
また、本条項に記載されている住所はすでに引越したため、現在はFDA事務所は存在しない。
11.200
(a) バイオメトリクスによらない電子署名 |
(1)電子署名は、IDコードとパスワードから構成される。
連続して電子署名を行う場合、1回目の署名にはIDコードとパスワードの両方を入力(つまりログオン)し、2回目以降の署名には、少なくともパスワードを入力しなければならない。
電子署名終了後に離席するなどの場合(つまり連続した署名を実施しない場合)は、ログアウトすること。電子署名を再開する場合は、ログオンしなおさなければならない。
(2)電子署名に使用するパスワードは、他人に教えてはならず、電子署名の代替行為(つまりなりすまし)をさせてはならない。
(3)不正行為をたくらんだ者が、電子署名を行おうとした場合、複数の者が共同でなければパスワードを盗めないような方策(例:鍵を2名の者が管理するなど)を考案し、実施すること。
(b) バイオメトリクスにもとづく電子署名は、その真の所有者以外の者は誰であっても使用できないようにするような方式で計画されていなければならない。 |
バイオメトリクスによる電子署名を行う場合には、本人以外の者が使用できないような精度設計にしなければならない。
11.300
パスワードと組み合せた識別コードの使用をベースにして電子署名を使用する者は、そのセキュリティと真実性が保証されるように、諸種の管理方法を利用しなければならず、それには下記のものが含まれるものとする。 (a)識別コードとパスワードの組合せのそれぞれが独自性を保持し、同一の識別コードとパスワードの組合せを2人の者がもつことはないようにすること。 (b)(パスワードの使用期間の長期化などへの対応として)識別コードおよびパスワードの発行状況を定期的にチェックし、取消しや改訂がされるようにすること。 (c)識別コードやパスワード情報が記録されていたり、またこれらの情報を生成したりするトークンや、カード、その他のデバイスが紛失したり、盗まれたり、見つからなかったり、その他なんらかの支障が生じている可能性がある場合に、これらを電子的に無効とし、適切で厳格な管理方法を使用し、仮のまたは恒久的な代替品を発行するための紛失管理手順に従うこと。 (d)パスワードが識別コードまたはこの両方が不正に使用されることを防止し、また不正な使用をしようとする企てを発見し、当該システムのセキュリティ担当部門ならびに、適宜、組織の経営者層に対し直ちに緊急報告をするためのトランザクション保護手段の使用。 (e)識別コードまたはパスワード情報が記録されていたりまたこれらの情報を生成したりするトークンやカードのようなデバイスが適切に機能し、不正な方法で改変されることのないようにするために、これらに対して当初とその後に定期的なテストを実施すること。 |
