コンピュータ化システム適正管理ガイドラインについて 潟Cーコンプライアンス
コンピュータ化システム適正管理ガイドラインについて
厚生労働省薬務局監視指導麻薬対策課は平成22年10月21日にコンピュータ化システム適正管理ガイドラインを発出し、平成24年4月1日から施行した。
結論から述べよう。
本ガイドラインは、医薬品のGMPにおける構造設備(医薬品の製造装置)のバリデーションにしか使用できない。
よくある間違いとして、本ガイドラインを医療機器企業が参照していることがあるが、そもそもその対象範囲には入っていない。
また非臨床試験、臨床試験(GCP)、製造販売後(GPSP、GVP)などにおいても利用または参照している企業も少なくはない。
しかしである、非臨床試験、臨床試験(GCP)、製造販売後(GPSP、GVP)などのビジネス分野では、構造設備が使用されることはなく、もっぱらITアプリケーションが中心である。
コンピュータ化システムの種類は「GMPで使用するコンピュータ化システムは4つのカテゴリに分類される」で解説した通りであるが構造設備、分析機器、ITアプリケーション、インフラストラクチャに分類される。
構造設備は、大きなハードウェアに対して比較的小さなソフトウェア(PLC、ファームウェア等)を搭載していることが多い。
従って、ソフトウェアのバグを検出することは比較的少ない。
構造設備のCSVの目的は、マニュアルベースの製造がコンピュータ化(すなわち自動化)された際に、医薬品の品質、品質保証が劣化しないことである。
また全般的なリスクが増えてもいけない、従って、CSVよりもプロセスバリデーションの重要性が高いといえる。
一方で、ITアプリケーションは、ハードウェアの制御を行わず、大きなソフトウェアのみで構成されていることが多い。
ITアプリケーションのCSVにおいては、主にパッケージシステムを導入し、構成設定し、テストを繰り返し実施する。
それでもバグは残ってしまうのが常である。
それではなぜ本ガイドラインが構造設備にしか利用できないのか根拠を述べたい。
- ITアプリケーションで必要となる構成設定仕様書の記述がない。
- 設計仕様書に比べて機能仕様書に関しての記載がお粗末である。全般にカテゴリ4に関する記載に乏しい。
- 設計仕様書の記載がH/Wを前提として書かれている。
- テストの記載がなく、DQ、IQ、OQ、PQといったプロセスバリデーションの用語を使用している。
- 必要に応じて詳細なリスクマネジメントを要求しているものの、その実施方法に関しては記載が全くない。用語の定義もない。
また、筆者が考える本ガイドラインの問題点は以下のとおりである。
- 規制要件であるにもかかわらず、GAMPといった業界の自主基準を参照して作成されている。これは本末転倒である。通常は規制要件に従って業界自主基準が決まるのである。
- FDA、PIC/S GMP Annex11、GAMP 5などで使用されていないDQ、IQ、OQ、PQという用語を使用している。
- CSVとプロセスバリデーションを混同している。CSVとプロセスバリデーションの相違についてはこちらを参照されたい。
- バリデーションの定義がDQ、IQ、OQ、PQの実施のみを対象としている。これはISO-9000の定義やFDA、PIC/S GMP Annex11、GAMP 5などの定義とも整合していない。
- GAMP 4とGAMP 5を混同し参照している。つまり中途半端である。
- カテゴリ分類を重用している。本来はFDAやPIC/Sが強く要求している通り、リスクベースドアプローチを採用するべきである。つまりカテゴリ3でも患者の安全性に大きく影響を与えるシステムもあれば、カテゴリ5でも患者になんら影響しないシステムも存在する。
- カテゴリ分類表と対応例(別紙2)の注記「本ガイドラインの対象外」の記述が間違っている。
PIC/S GMP Annex11 「Computerised Systems」は2013年1月1日から施行されている。GAMP 5は発行されてすでに8年も経った。製薬企業は最新の規制要件を参照するべきである。
なお、医療機器企業はFDAの「General Principles of Software Validation; Final Guidance for Industry and FDA Staff」(2002.1.11)を参照することを推奨する。