ER/ES実践講座 その11 製薬協EDC自主ガイダンスの考察(その2


<連載 全12回> ER/ES実践講座(第11回)


ER/ES実践について研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

製薬協EDC自主ガイダンスの考察(その2

1. はじめに

今回も前回に引き続き「臨床試験データの電子的取得に関するガイダンス」(以下、ガイダンス)の内容を考察してみたい。
ガイダンスでは、内容の多くを真正性の要件に費やしている。真正性を確保するためには、セキュリティにより改ざんが防止できることと、監査証跡により改ざんが発見できることが必要である。
加えて災害時やシステムの移行時などに、データを復旧させたり、移行する際に電磁的記録の真正性を確保することも求められる。この場合、症例データのみならず、監査証跡や電子署名の情報も完全かつ正確に復旧または移行できなければならない。
これら復旧作業や移行作業は、多くの場合、監査証跡を記録することができない。したがって手作業によりそれら作業を行う場合には、あらかじめ定められた手順に従って実施することが必要である。
電子署名は、現在のところ多くのEDCシステムではユーザIDとパスワードの組み合せによる方式であり、デジタル署名のように認証局の電子証明書を伴うものではない。
欧米では、デジタル署名の標準化が進んできており、早晩EDCシステムにも利用されるようになるものと思われる。

2. 電子署名に関する要件

4. 臨床試験データを電子的に取得するための要件
4.1. 実施医療機関で入力されるデータについての要件
4.1.1. 電磁的記録の真正性に関する要件

1)電子署名を利用する場合は、ERESガイドライン「4.電子署名利用のための要件」に沿って適切に運用されている(注:ERESガイドライン及びその案のパブリックコメント回答において、個々の電子署名は暗号化を必要としないこと、また記名捺印又は手書き署名も含む「ハイブリッドシステム」を拒絶するものではない、としている。EDCシステムにおいてもこれは適応できるものである。)。

これまでも本シリーズで何度か解説してきたが、ERESガイドラインでは、電子署名法に基づき電子署名の管理・運用に係る手順を文書化し、適切に実施することとしている。
電子署名法の要件を満たす電子署名は、デジタル署名である。
21 CFR Part 11(以下、Part11)においても、EDCに代表されるようなオープンシステムの利用時においては、デジタル署名などの技術を使用することとなっている。
しかしながらグローバルにおいても、現状のEDC運用においては、デジタル署名はほとんど使用されていない。
欧米においては、米国研究製薬工業協会(PhRMA)と欧州製薬団体連合会(EFPIA)の後援による、世界的な電子署名プロジェクトであるSAFE(Secure Access For Everyone)が実用化されつつある。
SAFEの認証局運用基準は、Part11のデジタル署名の要件をクリアするように定められている。
現時点では、製薬企業と治験を行う医療機関やCROとの間のB to Bや、製薬企業と規制当局との間のB to R(R : Regulation)に関して利用されつつある。
SAFEは、グローバルな製薬企業より資金提供を受けて運用されている。当初はバイオ製薬業界主導で作られたが、後にヘルスケア関係や医療機器メーカも参加している。
デジタル署名では、電子証明書を発行する「認証局」が重要であるが、関連会社であるSAFE-BioPharma, LLCが認証局を運営し、電子証明書を会員企業および治験を行う医師や研究者に配布している。
日本においても、SAFEと相互認証が実用化され、グローバルで通用するデジタル署名の実用化が待たれるところである。

  • 電子署名に関わるアカウント管理規則を定め、運用する。

  • 関係者のトレーニングを実施し、記録を残す。

通常EDCでは、電子署名に使用するパスワードは、ログインパスワードと同じである。
しかしながら電子署名を使用するユーザ(治験責任医師、治験分担医師等)については、ログインパスワードの運用に加えて、電子署名の運用についても周知しておかなければならない。
なぜならば、電子署名は事後否認ができないものでなければならないからである。
「アカウント管理規則」では、電子署名の使用を当該ユーザに許可する際の手順や、失効手順等を定めておく必要がある。
関係者への電子署名に関わる教育を実施し、記録(教育研修記録、モニタリング報告書等)を残しておかなければならない。

  • 電子署名の場合は、署名時、適用範囲・適用されるデータ及び署名の意味を明示すること及び削除コピーができないこと、電子署名に伴い記録される電磁的記録には署名者、署名の日時、署名の意味(位置づけ)が含まれることをEDCシステム要件に含める。

これらの要件は、EDCシステムを選択する前に確認しておかなければならない。

  • 電磁的記録に対して、記名捺印又は手書き署名を用いる場合には、記名捺印又は手書き署名と対象となる電磁的記録との対応付けが明確であることを保証する。

「電磁的記録に対して、記名捺印又は手書き署名を用いる場合」とは、いわゆるハイブリッドシステムを指す。
CRFを紙媒体に印刷して、記名捺印又は手書き署名を行うことになる。ハイブリッドシステムでは、当該電磁的記録と記名捺印又は手書き署名との対応関係をとるためには特別の注意が必要である。

  • 署名時点と署名の対象となった電磁的記録が明確であり、電磁的記録が更新された場合には、更新された電磁的記録に対して署名がなされている。

電子署名の場合は、署名後に電磁的記録を修正するためには、電子署名を取り消すなどの機能があることが望ましい。
ハイブリッドシステムの場合、記名捺印又は手書き署名後に電磁的記録が修正された場合、再度印刷の上、記名捺印又は手書き署名を行わなければならない。この手続きを手順書に記載しておかなければならない。

2)症例報告書データ及びEDCシステム(ユーザのリストや権限情報等のデータも含む)のバックアップが適切に実施されている。

  • 文書化された手順により、最新の電子症例報告書データ、監査証跡及び電子署名使用時は署名関連データが定期的にバックアップされ、不測の事態が生じた際は、バックアップデータから、予め定められた手順により症例報告書データが再現できる。この際、原本と位置づけられる「データセット」は、常にただ一つに特定されるよう、予め定義されている必要がある。また、再現・復旧された症例報告書データを原本とするためには、再現・復旧に用いられる手順が、失われた原本データを正確に再現できることを予め検証されていなければならない。

  • ハード・ソフトウェアに障害が発生した場合には、予め定められた手順により環境を再現できる。

「障害」とあるが、バックアップに関する記載であることから、「災害」のことであると理解する。
障害には、ハードウェアの故障、ソフトウェアのバグなどが含まれ、「障害管理計画書」をあらかじめ定めておき、対応しなければならない。
災害については、「災害対策計画書」をあらかじめ定めておかなければならない。本ガイダンスはASPを利用することを前提としているため、災害時の復旧は当該ベンダーが実施することになる。
災害復旧の要は、バックアップである。当該ベンダーは、バックアップ・リカバリー手順書を作成していなければならない。
バックアップは、ERESガイドラインにおいて真正性の要件であり、真正性を確保するためには、あらかじめ定められた手順でリカバリーできなければならない。
災害前に真正性を確保できていた場合でも、災害時の復旧作業において監査証跡を残さないデータ変更が可能となるため、特別の注意が必要である。

3)EDC 運用途中でEDCシステムが改訂される場合、改訂に伴う作業が適切に実施されている。

  • EDCシステムの改訂には下記の内容が含まれるが、改訂の際にもCSVポリシーに則ったCSVによりシステムの信頼性が保証されている。

  • EDCシステムのバージョンアップに関わる改訂(システムへの機能追加、改訂、削除に関わるプログラムの改訂及びシステム環境の変更)

  • 電子症例報告書入力画面の改訂(治験実施計画書改訂や不具合による改訂)

  • 自動クエリー出力のためのプログラムの追加、修正、削除

「改訂」とあるが、一般的には「変更」と呼ばれることが多い。
ASPサービスの場合、クライアントの都合とは関係なく、EDCシステム(ソフトウェア)がバージョンアップされることがある。なぜならば同じシステムを多くのクライアントが同時に使用しており、バージョンアップのタイミングを調整することが極めて困難であるからである。
EDCシステムのバージョンアップに関しては、当該ベンダーがCSVを実施することとなる。
入力画面やクエリー機能の変更に関しては、そのリスクを十分に評価し、あらかじめテストを実施しておかなければならない。
これら変更の手順は、「変更管理計画書」等によって文書化されており、適切に実施されなければならない。

  • EDCシステムの改訂に伴いデータ(原本)の移行を行う場合は、無変換又は検証された自動変換の方式により、記録の内容と意味を保持して出力されている。また、データ(監査証跡を含む)の見読性が保持されている。

  • 検証された手順で変換・エクスポートされ、その結果が原データと一致していることをバリデーション資料で提示できる。

  • バリデーション資料等記録書類の改訂については、改訂・変更管理の手順を定め、これによりバリデーション資料等記録書類の作成、改訂の記録を時系列的に追跡できる履歴を維持する。

災害時同様、システムのリプレースなどのデータの移行時においても、監査証跡を残さないデータ操作が行う危険性がある。
本ガイドラインは、ASPを利用することを想定しているので、システムのリプレースについても、当該ベンダーが実施することとなる。
旧システムから、新システムへのデータの移行に関しては、多くの場合、プログラムを利用して行うことになる。
データ移行に使用するプログラムは、CSVを実施しておかなければならない。また移行前と移行後でデータを比較することにより、データ移行が正しく行われてことを検証しておかなければならない。

  • 改訂後のEDCシステムで運用開始後に改訂前のEDCシステムを破棄する場合は、バリデーション資料等記録書類を保存し、改訂前のEDCシステムにより扱われた資料の妥当性を示すことができるようにする必要がある。

EDCシステムに限らず、GxPデータを保持するシステムの廃棄は、慎重に行わなければならない。
廃棄に際しては、当該電磁的記録(監査証跡、電子署名を含む)が、完全かつ正確に移行されたことを保証しなければならない。
システム廃棄時には、「廃棄計画書」を作成し、適切に実施しなければならない。また廃棄後は、「廃棄報告書」を作成しなければならない。

4.1.2. 電磁的記録の見読性に関する要件

1)入力・変更された全てのデータ及び監査証跡(電子署名を使用する場合は電子署名を含む)を、常時、人間が読める形式でディスプレイ装置への表示又は紙への印刷ができる。
2)見読性が担保されているとは、人間が「読める形式」であることに加え、見やすく扱いやすいことも必要である。同一管理番号を頼りに多くの資料を比較しながらデータを読み取ることができる程度の表示機能の場合には、見読性が担保されているとは言えない。必要な情報がある程度まとまった一群のデータとして表示又は印刷される機能も具備していることが求められる。

本ガイダンスでは、見読性に関する記述があまりにも少ない。
「同一管理番号を頼りに多くの資料を比較しながらデータを読み取ることができる程度の表示機能の場合」とあるが、この意味は「症例報告書を作成できないシステムである」ということであろう。もしそうであれば、事実上新薬承認申請に堪えないため、製薬企業がそのようなEDCシステムを採用することはあり得ない。
これまでにも解説したとおり、見読性とは「いつでも書面に戻せること」である。症例報告書を電磁的記録により保存するため、保存した電磁的記録を紙の症例報告書と同様の形式で、ディスプレイに表示したり、紙媒体に印刷できなければならないのである。
一般に見読性が求められるのは、書面の電磁的記録による保存に対してであり、個々のデータやテーブルを対象にしているわけではない。
つまり治験責任医師が電子署名を行う際に、症例報告書を確認したり、規制当局が査察を行う際などに、症例報告書が紙媒体と同様に確認できれば良いのである。
ちなみにFDAでは、2007年5月に発行した「Guidance for Industry - Computerized Systems Used in Clinical Investigations」の中で、Legibleという用語を用いている。Legibleとは「データを見て適切なアクションが起こせるよう判読できること」である。
大事なことは、症例データのみではなく、監査証跡や電子署名の情報も同様に見読性の要件を満たさなければならないということである。
さらに見読性を確保するためには、当該電磁的記録媒体を操作する装置と、当該電磁的記録を読み出すソフトウェアが常に設置されていなければならないということである。
電磁的記録媒体は、治験実施中はEDCサーバー上のハードディスクであることがほとんどであり、特に問題はない。治験終了後に、CD-Rなどのメディアにコピーした際には、常にCD-Rドライブを準備しておかなければならない。
また電磁的記録を読み出すソフトウェアは、過去の電磁的記録を含めて読み出せるものでなければならないのである。

4.1.3. 電磁的記録の保存性に関する要件
4.1.3.1. EDC サーバー上の電磁的記録(電子症例報告書データ、データの監査証跡及び電子署名使用時は署名関連データ)の保存性に関する要件

1)電磁的記録の維持方法について、正当性あるリスク評価を行い文書化されている手順書の作成)。
2)電磁的記録は紙での原本保存と同等の運用の管理下に置かれている(保存管理者を定める等)。
3)EDC サーバー上の電磁的記録は、規制当局の調査等に対応できるよう、保存期間中いつでも直ちに検索可能である。

見読性の要件同様、保存性に関しての記述に関してもあまりにも少ない。
「電磁的記録の維持方法」とは、ASPサービス利用時は、EDCサーバー上のハードディスクによる維持のことであり、治験終了後はCD-R等にコピーして維持することを指すと思われる。
「正当性のあるリスク評価」とは、当該電磁的記録を保存しておく電磁的記録媒体が、保存期間中劣化しないことをあらかじめ評価しておくことと理解する。
もしセキュリティを含めたリスク評価を指しているならば、それは真正性の要件である。
「保存管理者」は、ASPサービス利用中に関しては、当該ベンダーで責任をもって決定する必要がある。
「保存期間中いつでも直ちに検索可能」とあるが、これは「検索性」の要件である。厚生労働省令第44号や、ERESガイドラインでは「検索性」の要件が記載されていない。あえて分類すれば「見読性」に含まれる要件であろう。
一般に電子文書に関する要件は「真正性」「見読性」「保存性」「検索性」「機密性」が求められる。このうち「真正性」と「保存性」を合わせて「完全性」と呼ぶ場合がある。Part11ではこれを「Integrity」と呼んでいる。
以前も指摘したが、厚生労働省令第44号では、診療録や処方箋に関しては「真正性」「見読性」「保存性」の要件を求めているが、GxPに関する文書や記録に関しては、「見読性」の要件しか求めていない。これはいとも不可思議である。

4.1.3.2. データ移管後の保存用電子症例報告書の保存性に関する要件
EDC サーバー上のデータを他の記録媒体に移管する場合の保存性の要件は、以下のとおりである。
A. 臨床試験データの保存に関する要件

1)EDC サーバー上のデータ(原本)を移管する場合は、予め検証された自動変換又はエクスポートの方式により、記録の内容と意味を保持して出力されることが必要である。

2)保存用電子症例報告書に適切な文書形式が用いられている。

  • 保存期間を通じて、利用できる文書フォーマットである(PDF、XML、SGML等フォーマットが公開されていることが望ましい)。

  • 長期保存文書に用いる文書形式として公式に認められている(ISO基準等)。

  • 検索可能な形式であることが必要である。

3)保存用電子症例報告書に適切な記録媒体が用いられている。

  • 必要な保存期間内にデータが失われない期待寿命を有する。

  • 記録媒体上のデータの信頼性を定期的に検査する手段を有する。

  • 書換えが不可能かつ削除が不可能である(これらの要件を満たす媒体として、光ディスク等が挙げられる)。

治験終了後には、ASPサービスの契約が終了し、当該電磁的記録をCD-R等の電磁的記録媒体にコピーすることとなる。
通常は、紙媒体の症例報告書と同様のフォーマットにより、pdf形式で出力されることが多い。その際に注意しなければならないことは、1症例毎に1つのpdfを作成し、当該pdfには監査証跡情報と電子署名情報が共に出力されていなければならない。
「保存用電子症例報告書に適切な文書形式」とあるが、これは見読性の要件である。一般に電子文書を保存する際には、pdfまたはTiffが望ましいとされている。Tiffはスキャナにより読み取った書面にのみ適用されるべきで、EDCには不適切である。またXML、SGMLも例として記載されているが、筆者は症例報告書の保存には不適切であると考えている。
「機体寿命」であるが、CD-Rでは通常10年くらいだと考えられている。ただしこれは適切に保管した場合であって、直射日光に当てたり、高温多湿、ほこりまみれなどの劣悪な環境下での保存や、割ったり傷つけたりした場合などは、この限りではない。
「電磁的記録媒体の管理等、保存性を確保するための手順書」を文書化し、適切に実施しなければならない。
この場合、医療機関側で保管しているCD-Rに対しても適用することが必要である。

B. EDCシステムの保存に関する要件

1)データ移管後EDCシステムを維持しない場合は、必要な記録書類を保存する。

  • 保存用電子症例報告書としてデータを移管した後にEDCシステムを維持しない場合には、EDCシステムの要求仕様、設計、検証過程等を確認できるようにバリデーション資料等記録書類を保存する。

2)EDCシステムのソフトウェアを保存する場合には、新たなコンピュータ環境でも見読性が保持される。

  • データ移管後、EDC ソフトウェアを保存し、必要に応じてサーバー上に再度インストールして保存性の要件を満たすことを意図している場合には、新たなコンピュータ環境で見読性が保持されることを保証する。

この要件は筆者には難解である。いったいERESガイドラインのどの要件に対応しているのであろうか。
EDCシステムは、早かれ遅かれ維持できなる時が来る。これはコンピュータシステムの宿命である。
システムの廃棄時には、先に記載したとおり「廃棄計画書」を作成した上で適切に実施し、移行後の電磁的記録が「真正性」「見読性」「保存性」の要件を満たしていることを保証しなければならない。
「必要に応じてサーバー上に再度インストールして保存性の要件を満たすことを意図している場合」というケースは、どういうものであろうか。少なくとも保存性の要件ではないように思える。

3. 中央検査機関から電子的に入手するデータについての要件

「中央検査機関から電子的に入手するデータ」とは、臨床検査値などの検査データのことを指す。
中央検査機関から電子的に入手するデータについての要件も、これまでに述べた実施医療機関で入力されるデータについての要件とほぼ同じである。
しかしながら、検査データに関しては特別に注意しておかなければならないことがある。
検査データの取り扱い方法は、これまで通り検査結果を帳票として紙媒体で作成し、中央検査機関から当該医療機関に送付される場合がある。
一方でEDCシステムなどが利用されるようになると、中央検査機関から直接EDCシステムに入力されるケースが増えてくると思われる。
この場合、治験責任医師等は適時検査結果をEDCシステムで確認しなければならない。なぜならば随伴症状や臨床検査値の異常変動、しいては有害事象を常に監視しなければならないからである。
このことは、治験責任医師等に十分に説明しておき、モニタリング時には必ず確認を行う必要がある。

4. おわりに

平成19年12月21日に行われた、ガイダンス説明会では、本ガイダンスはまだ試行錯誤の途上であること、電子症例データを原本とみなせる最低限の要件に過ぎないことなどの説明があった。
つまり本ガイダンスを遵守したからといって、十分であるという保証はないのである。
米国では、FDAが1999年5月に「Computerized Systems used in Clinical Trials」が発行し、2007年5月に「Computerized Systems used in Clinical Investigations」として改定した。
EUにおいても、EMEAのGCP IWG(GCP Inspectors Working Group:査察官のワーキンググループ)が、2007年6月14日「Reflection Paper on Expectations for Electronic Source Documents Used in Clinical Trials」を発表し、パブリックコメントの募集を2008年4月31日に締め切った。
しかしながら日本の規制当局は、EDCシステムに関する通知を未だ発行していない。規制要件がはっきりしないままのEDCシステム運用は、大きなリスクを抱える。
規制当局にとっても製薬企業にとっても、必要十分条件を明確化した上で、EDCシステムの運用を行うことが必要であるといえる。

参考
1)「医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について」平成17年4月1日 薬食発第0401022号
2)「臨床試験データの電子的取得に関するガイダンス」平成19年11月1日 日本製薬工業協会 医薬品評価委員会
3)「電子署名普及に向けた調査報告書(2)−海外及び国内金融分野での利用動向−」 平成19年3月 次世代電子商取引推進協議会
4)「Guidance for Industry - Computerized Systems Used in Clinical Investigations」 2007年5月11日 FDA
5)「Reflection Paper on Expectations for Electronic Source Documents Used in Clinical Trials」 2007年6月14日 EMEA GCP IWG



用語集

QMS構築支援

FDA査察対応