厚労省「コンピュータ化システム適正管理ガイドライン」対応実践講座


イーコンプライアンス ウェブセミナー

厚労省「コンピュータ化システム適正管理ガイドライン」について研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

リスクアセスメントの実施方法

用語の定義

リスク
危害の発生の確率とそれが発生したときの重大性の組み合わせ(ISO/IEC Guide 51)。

危害
健康への被害。製品品質の不良または安定供給の欠如による被害を含む。

ハザード
危害の潜在的な原因(ISO/IEC Guide 51)。

重大性
ハザードから生じうる結果の大きさ。

リスクマネジメント
リスクのアセスメント、コントロール、コミュニケーション、レビュの各作業に対し、品質マネジメントの方針、手順、実施を系統立てて適用すること。

品質リスクマネジメント
製品ライフサイクルを通じて、医薬品の品質に係るリスクについてのアセスメント、コントロール、コミュニケーション、レビュからなる系統だったプロセス。

リスク分析
特定されたハザードに関連するリスクの推定。

リスクアセスメント
リスクマネジメントプロセスの中で、リスクに係わる決定を支持する情報を整理する系統だったプロセス。ハザードの特定、およびそれらハザードへの曝露に伴うリスクの分析と評価から成る。

初期リスクアセスメント
当該コンピュータ化システムが、GxP規制対象であること、システム影響およびさらなるリスクアセスメントの必要性等を判断する。
初期リスクアセスメントは、計画策定の段階で実施する。

詳細なリスクアセスメント
仕様が作成された段階において、さらに必要と判断される場合に実施するリスクアセスメントのこと。一般には、機能リスクアセスメントが相当する。

検出性
ハザードの存在、出現、事実を発見または決定する能力。

リスク評価
リスクの重大性を決めるため、定量的または定性的な尺度を使い、推定されたリスクを一定のリスク基準と比較すること。

リスク特定
リスクへの質問または問題の記述を参照して、危害の潜在的な原因(ハザード)を特定するための情報を系統立てて使用すること。

コントロール
リスクを回避または軽減するための方策。

工程
工程とはプロセスプラント(原料から製品を作る主要設備)を構成する単位で、1工程 = 1機能を意味する。
1つの工程には1つ以上の機器や設備が含まれており、それを結ぶ配管や、制御のための計装機器や電気機器などが属している。
例えば、合成反応を行う工程は"合成反応工程"と呼ばれ、そこには合成反応器と関連する熱交換器や分離槽などが含まれている。

コンプライアンスコストの増大

コンプライアンスにかかるコストは、施設全体の操業費用(原材料費を除く)の25%という高い比率を占めている。
大規模な製造施設の場合、その金額は年間約40 億円にのぼるとされる。
「問題を起こさない」式のやり方との決別が必須である。

Moving to Your Accepted Level of Risk

コンプライアンス・コスト・マネジメント

品質を脅かすリスク排除の為に発生するコストと、それによってもたらされる品質を脅かすリスクの削減効果とを常に比較検討する必要がある。

規制コストの増大
  1. 規制のハードルが高いため、製薬企業が規制に係わるようなリスクを敢えてとろうとしないこと
  2. 製造システムが旧来からの考えに基づくもので、技術革新、新技術の導入に遅れをとっていること
  3. 製造プロセスの質が経験的なもので科学的な基準に立脚したものとなっていないこと

医薬品の製造に由来する問題が増加傾向にあり、FDA に大きな負荷がかかっている。
FDAは、21世紀のcGMPをRisk based Approachに移行した。(2002年8月)

リスクベースドアプローチとは

2002年8月22日のFDA News Letterで、cGMPs for the 21st Century Initiative(21世紀に向けたcGMPのイニシャティブ)の中で明らかにした、FDAの新しい医薬品業界監視の方針のこと。
よりリスクの高い企業を重点的に査察する
例:コンプライアンス違反を繰り返す会社、リスクの高い薬剤を生産する会社、中国・インドなどの医薬品途上国
リスクの高いプロセス(生産工程)を重点的に査察する

製薬企業にもリスクベースドアプローチをとるよう要請

リスクベースドアプローチの効能

規制当局の査察および製薬企業の品質保証にかかわるリソースの配分をよりリスクの高いプロセスに集中させることができる。

  1. コンプライアンスコストの軽減
  2. 規制コストの軽減
  3. 効果的・効率的な品質保証活動

そのためには、正当化されたリスクアセスメントが文書化されていなければならない。

cGMPの改革と21 CFR Part 11の改定

cGMPの改革に伴い、21 CFR Part 11の改定を決定した。
Risk Based Approachをとること。

FDA Guidance for Industry: Part 11, Electronic Records; Electronic Signatures – Scope and Application (2003.9)
『FDA が推奨するアプローチは、正当化されたリスク・アセスメントの文書化、そして製品の品質、安全性、記録の完全性に影響を及ぼす可能性をもつシステムに重点をおいた判断を行うといったアプローチである。』

製薬企業のコンピュータ化システム関連リスク

リスクのとらえ方
  1. 製品を超えるプロセスリスクはない
  2. プロセスを超えるシステムリスクはない
  3. システムを超える機能リスクはない

製品とプロセスの理解
初期リスクアセスメント
詳細なリスクアセスメント (機能リスクアセスメント)

リスクアセスメントに関する役割と責任

リスクアセスメントチーム
リスクアセスメントチームは、適切なSMEのほか、プロセスオーナや品質部門が含まれていなければならない。
リスクアセスメントチームは、以下の事項に責任をもつ
1) 初期リスクアセスメントの実施
2) 患者の安全、製品の品質、およびデータの完全性に対するリスクの特定、分析、および評価
3) プロセスとその自動化に関連する知識と経験に基づいて、ハザード分析を行う
4) コントロールの構築
5) リスクアセスメント報告書を作成する

開発責任者
1) 詳細なリスクアセスメントの実施

運用責任者
1) コンピュータ化システムの運用時のリスクのレビュ

品質部門
1) 規制への適合および企業の品質基準と方針の維持に関連するリスクの特定、分析、および評価の実施
2) 必要に応じてリスクアセスメントに関与する
3) リスクアセスメント報告書を承認する

供給者
1) 製品の機能および不具合の可能性に関する情報を提供する
2) コントロールに関する助言を提供する
3) 必要に応じてリスクアセスメントに関与する

初期リスクアセスメント実施手順

1.製品とプロセスの理解
まず当該コンピュータ化システムが適用される製品とビジネスプロセスを詳細に把握することが重要である。
リスクアセスメントチームは、以下について理解すること。
1)  製品が患者に与えるリスク
2)  当該コンピュータ化システムが使用されるプロセスのリスク
3)  ユーザ要求
4)  該当する規制要件
5)  既知の機能領域
6)  以前に実施した関連するアセスメント結果

2.システムの規模、複雑性、新規性に関する調査
リスクアセスメントチームは、以下の調査を実施すること。
1)  プロセスの複雑性
2)  システムの規模
3)  システムの複雑性
4)  システムの新規性
5)  業務重要性
安全性、有効性、品質に関する評価
ビジネスリスクに関する評価
安全被害に関するリスク
コスト
6)  ソフトウェアカテゴリ

3.ハザード分析
リスクアセスメントチームは、以下の事項を実施すること。
1)  コンピュータ化システムへのハザードを認識する
2)  システムでどのような異常が起こりうるかを判断する
3)  システムの不具合の可能性を認識する
4)  ユーザの操作ミス等の可能性を認識する。

4.危害分析
リスクアセスメントチームは、以下の事項を実施すること。
1)  ハザードに基づいて、潜在的な危害を特定する。

5.影響分析
リスクアセスメントチームは、以下の事項を実施すること。
1)  ハザードによって起こりうる結果を予測し、患者の安全、製品の品質、およびデータの完全性への影響を分析する。

6.不具合の可能性分析
リスクアセスメントチームは、以下の事項を実施すること。
1)  当該コンピュータ化システムにおける不具合の発生確率を求める。
ただし、ソフトウェアの不具合に関しては、発生確率を求めない。

7.不具合の検出可能性分析
リスクアセスメントチームは、以下の事項を実施すること。
1)  不具合の検出可能性を求める。
不具合は、システムによって自動的に検出されることもあれば、手動による方法によって検出される場合もある。
ただし検出は、患者の安全、製品の品質、およびデータの完全性に危害を生じる前に行われなければならない。

8.GxPアセスメント
リスクアセスメントチームは、以下の事項を実施すること。
1)  当該コンピュータ化システムが、GxP規制対象かどうかの判断を行う。
2)  当該コンピュータ化システムのどの部分がこれに該当するのかを列挙する。

9.電子記録・電子署名に関するリスクアセスメント
電子記録の完全性におけるリスクは、ビジネスプロセスのコンピュータ化によって生じる。
リスクアセスメントチームは、以下の事項を実施すること。
1)  規制対象の電子記録および電子署名を識別する。
2)  21 CFR Part 11に基づく評価を行う。
3)  厚労省ER/ES指針に基づく評価を行う。

10.より詳細なリスクアセスメントの必要性判断
当該コンピュータ化システムがカテゴリ3の場合、詳細なリスクアセスメントは実施しない。
当該コンピュータ化システムがカテゴリ5の場合、システムの開発時にさらにより詳細なアセスメントが必要になる。
リスクアセスメントチームは、以下の事項を実施すること。
1)  詳細なリスクアセスメントが必要となった場合は、検証責任者に命じて、バリデーション計画書にその旨を記載させる。

11.リスクアセスメント報告書の作成
リスクアセスメントチームは、当該コンピュータ化システムの新規性、複雑性、ソフトウェアカテゴリ分類、および供給者の文書を活用するかどうかを考慮した上で、リスクアセスメント報告書の作成を行う。
リスクアセスメント報告書の内容は、バリデーション計画書に引き継がれ、バリデーションの程度、すなわち作成するドキュメントの種類があらかじめ決定される。
当該システムの重要性・規模・複雑性によって、作成するべきCSVドキュメントの種類を適切に判断しなければならない。

詳細なリスクアセスメント実施手順

1.患者の安全、製品の品質、およびデータの完全性に影響を与える機能の特定
開発責任者は、以下を実施する。
1)  初期リスクアセスメントで収集した情報を理解する。
2)  関連する仕様を参照する。
3)  プロジェクトアプローチ、システムアーキテクチャ、およびシステム構成要素のカテゴリ分類を考慮する。
4)  患者の安全、製品の品質、およびデータの完全性に影響を与える機能を特定する。

2.機能リスクアセスメントの実施
開発責任者は、以下を実施する。
1)  最も影響の大きい機能を特定する。
2)  特定した機能について、起りうるハザードを特定する。
3)  特定した各ハザードに対し、重大さとリスクの起こり易さ(確率)を比較した図表を作成し、リスククラスを割り出す。(図左)
4)  割り出したリスククラスと検出確率を比較した図表を作成し、リスクの優先度を割り出す。(図右)

故 障 重大性
(患者への影響)
発現確率 検出確率 優先順位
○○の破損 ○○の恐れ 1ppm 高い  
異物混入     低い  
○○の割れ      
         

トレーサビリティマトリックスと機能リスク評価

3.コントロールの特定
開発責任者は、以下を実施する。
1)  各ハザードから生じる潜在的な危害をどのようにコントロールすることができるかをアセスメントする。
2)  アセスメントの結果に基づいて、適切なコントロールを特定する。

<<前の記事へ   TOPへ戻る    次の記事へ>>