1. はじめに
電磁的記録による資料および原資料の保存には様々な方法がある。
電磁的記録の真正性、見読性、保存性を確保するためには、各システムにおける当該電磁的記録の取り扱われ方に注意を払う必要がある。
ERESガイドラインを遵守するための手順書は、部門で1つのものではなく、各システム固有の特性に合わせたものでなければならないのである。
2. 電磁的記録による作成の2つの方法
第2回で紹介したとおり、厚生労働省令第44号の第6条(電磁的記録による作成)によると、電磁的記録による作成の方法には2通りある。
「ファイルに記録する方法」と「磁気ディスク等をもって調製する方法」である。
筆者は前者を「eCTDモデル」と呼び、後者を「EDCモデル」と呼ぶことにする。
ERESガイドラインに対応するためには、この2つのモデルの違いをよく理解しておくことが必要である。
「eCTDモデル」はワープロなどで作成した治験実施計画書、総括報告書、申請資料などのファイル(書面)を磁気ディスク等に保存しておくことになる。
「EDCモデル」は、通常は書面の形式ではなく、ビジット単位の症例データをリレーショナルデータベースに経時的に保存することになる。必要に応じてデータベースから適切な記録を抽出し、書面を印刷またはディスプレイに表示することになる。
3. 電磁的記録利用のための要件
3.1 バリデーション
3.1. 電磁的記録の管理方法 |
電磁的記録利用システムという表記があるが、電磁的記録は必ずしもコンピュータシステムで扱われるとは限らないからであろう。
例えば資料や原資料を光ディスクなどの媒体に保存してある場合、それら記録をディスプレイに映すような装置も含まれる。
「電磁的記録利用システムとそのシステムの運用方法」と記載されているのは、前者が機能要件、後者が運用要件を指している。ERESガイドラインを遵守し、その目的を達成するためには、システムに対する機能要件とそのシステムを運用するための要件の2つの側面から対応が求められているのである。ちなみにPart11では、procedures
and controlsと表記されている。
また当該システムはコンピュータ・システム・バリデーション(以下、CSV)により信頼性を確保しなければならない。CSVは、欧米での規制要件では多くの場合、Computerized
System Validationと表記されており、Computer System Validationではないことに注意が必要である。
CSVはコンピュータシステムなどの“仕組み”の信頼性を確保することがその目的であり、ERESガイドラインはCSVで信頼性が確保されたシステム上の“電子データ”の信頼性を確保することが目的である。
3.2 電磁的記録の真正性
3.1.1. 電磁的記録の真正性 |
真正性はPart11ではAuthenticityと記載されている。
「電磁的記録が完全」とは、電磁的記録に不足がないこと、一貫していること、記録の意味が保たれていることである。
その為には、電磁的記録がAttributableでなければならない。
「eCTDモデル」の場合、その文書の内容や背景情報として「文書タイプ」「作成日付」「作成者」「版」「主題」「キーワード」「要約」「ステータス」などを管理する必要がある。通常これらをコンテキストと呼ぶ。
コンテキストが持つ意味は、より正確であることが重要で、「作成者」として明記された氏名が本当にその文書の作成者であること、また、それが正しいと確認できることが求められる。
通常、紙媒体の場合、捺印や手書き署名という行為は、「作成者」が正しいことを証明することを意味する。また、紙媒体の劣化などから、「作成日付」などのコンテキスト情報が正しいことが推測できる。
電磁的記録の場合は、コンテキスト情報をファイルに記載(例:MS-Wordではプロパティを利用する)しておく場合がある。しかしこの場合「作成者」「作成日付」などのコンテキスト情報を、いかに改ざんなどの不正行為から保護するかという課題がある。
デジタル署名を利用すれば、「作成者」を安全に記録しておくことが可能である。また「作成日付」は、タイムスタンプを利用することにより、同様に信頼性を確保できる。この場合、より厳格な信頼性を確保するためには、特定認証局による認証を得た電子署名や、タイムスタンプ局によるタイムスタンプを利用することとなる。
「EDCモデル」の場合、例えば治験責任医師が130という数値を入力したとしよう。この数字は「あるスタディの、ある医療機関の、ある被験者の、何回目の来院日の、血圧の最高値を測定したものである。」という説明があってはじめて意味が判明する。
また「電磁的記録が完全」であるためには、入力者、入力日が共に記録されていなければならない。さらに何らかの事情で電磁的記録を変更する場合には、変更前の値、変更後の値、変更者、変更時刻、変更の理由などが共に保存されていなければならない。
「電磁的記録が正確である」とは、電磁的記録が、
- オリジナルの記録の通りに正しく入力されていること。
- 必要に応じて読合せやダブルエントリーを実施すること。
- 当該ソフトウェアによる計算結果が正しいこと。
- 電磁的記録に対して、何らかのデータ処理が行われる場合、処理の前後のデータが正しく対応していること
などである。
「電磁的記録が信頼できる」とは、電磁的記録が、
- オリジナルであること。
- タイム・スタンプがつけられていること。
- セキュリティで保護されていること。
- 改ざんから守られていること。
- 変更などの記録がとられていること。
- 適時バックアップがとられており、災害などの際に復旧が可能であること。
などである。
3.2.1 セキュリティ
3.1.1. 電磁的記録の真正性 |
システムのセキュリティを確保することを求めており、それら規則、手順の文書化が必要である。
セキュリティには、物理的セキュリティ(入退出制限など)、論理的セキュリティ(パスワードなど)、ネットワークセキュリティ(ファイヤーウォールなど)などがある。
またパスワードを公言しないなど、人的なセキュリティにも配慮が必要である。
「規則」とは、ルール(例:パスワードは6文字以上など)のことである。「手順」とは、規則を守らせるための順序であり、誰が、いつ、何をするかを記載する。
「適切」とは、適切な手順に従って、適切な人が、適切なタイミングで実施することである。
「実施」とは、実施し、実施した記録を作成することである。記録を作成するフォームを手順書に定義しておかなければならない。
「規則、手順が文書化される」とは、実施規定、作業手順等が文書として作成され、承認され、管理されることである。
3.2.2 監査証跡
3.1.1. 電磁的記録の真正性 |
監査証跡は、電磁的記録に対して非改ざん証明を行うためのものである。
また監査証跡は、コンピュータ・システムによって自動的に記録されなければならない。
監査証跡の機能を持たないシステムは、本指針に適合せず、電磁的記録(適用範囲に限る)を保持してはならない。
例えば、スプレットシートやワープロなどで作成した電磁的記録を、個人のPC内のハードディスクあるいはネットワーク上のファイルサービスに保持しておいてはいけない。
ドキュメント管理システムなどの、セキュリティで守られており、監査証跡が自動的に記録されるシステムで管理しなければならないのである。
この条文の解釈と適用は、「eCTDモデル」と「EDCモデル」で異なる。
「eCTDモデル」においては、「治験実施計画書」を例に考察するとこうなる。
- 「保存情報の作成者」とは、「治験実施計画書」を承認した者のことであり、文書の内容に責任を持つ者である。「治験実施計画書」をタイプしたり、文書管理システムに登録したオペレータを指すのではない。従って作成者は自動的に記録されない。コンテキストとして別途入力する必要がある。
- 「一旦保存された情報」とは、治験責任医師と合意した「治験実施計画書」の初版(Ver.1.0)を指す。
- 「変更前の情報を保存する」とは、何らかの事情で「治験実施計画書」を変更する場合に、Ver.1.0を消去することなしに保存しておき、新しく作成されたVer.1.1も同様に保存しなければならない。
- 「変更者」とは、同様に変更に責任を持つ者である。変更者も自動的に記録されない。コンテキストとして別途入力する必要がある。
- 「治験実施計画書」のVer.1.0とVer.1.1では何が変更されたかまでは、当該電磁的記録利用システムが自動的に記録する必要はない。
「EDCモデル」においては、下記のようになる。
- 「保存情報の作成者」とは、症例データをEDCシステムに入力した治験責任医師などを指す。つまり「EDCモデル」では、オペレータと作成者が一致する。従ってこの場合、作成者は自動的に記録することができる。
- 「一旦保存された情報」とは、サーバに送信され記録された症例データのことである。
- 「変更前の情報を保存する」とは、「一旦保存された情報」を上書きすることなく、適切に退避させておくことである。
- 「変更者」とは、データの変更を行った者である。
- 監査証跡には、作成者、作成時刻、変更者、変更時刻、変更前の値、変更後の値が記録されていなければならない。
「自動的に記録される」とは、当該システムの機能により記録するという意味である。
「記録された監査証跡は予め定められた手順で確認できる」とは、画面上または帳票上で監査証跡を確認できる機能を持っており、その確認手順が文書化されていることを指す。
3.2.3 バックアップ
3.1.1. 電磁的記録の真正性 |
火災や地震などの災害やウィルス被害などにより電磁的記録の一部または全部を失うことがあっても、リカバリーができるよう、電磁的記録のバックアップを適切に実施しておかなければならない。
バックアップは、真正性の要件である。なぜならば、電磁的記録の信頼性を確保するためにバックアップが必要だからである。
電磁的記録の信頼性を確保するためには、バックアップが適切に(例:週に1度)行われており、リカバリーが可能な状態が保証されていなければならない。
バックアップ及びリカバリーの手順を定め、実施し、その記録を作成しておかなければならない。
3.3 電磁的記録の見読性
3.1.2. 電磁的記録の見読性 |
見読性は、規制当局の調査や実地査察時、社内監査時、または本指針への適合性確認などで、電磁的記録を確認するために必要な要件である。
電磁的記録の内容は、適切なソフトウェアの助けを借り、ディスプレイに表示又はプリントアウトすることなどにより初めて確認できる。
電磁的記録を保存するデータ形式には、特定の企業によって定義され、フォーマットが公開されていないもの(例:MS-Excel、MS-Wordなど)も多数ある。こうした形式では、当該企業がそのサポートを止めた場合に、適切な表示ができなくなってしまうというおそれがある。こうした問題は、OSやソフトウェアを交換又はアップグレードした際にも生じうるものである。
「人が読める形式」とは、書面の形式に戻すことを言う。
e-文書法の定義にはこうある。
- 電磁的記録とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式
- 書面とは、人の知覚によって認識することができる情報が記載された紙その他の有体物
つまり電磁的記録により保存を行うということは、人の知覚によっては認識することができない形式にしてしまうことであり、書面の形式に戻すことによって、「人が読める形式」となるのである。
保存期間中、見読性を確保するためには、以下の要件が必要である。
- 当該電磁的記録媒体を読み出せるドライブが共に維持されていること。
- 当該電磁的記録を読み出せるソフトウェアが共に維持されていること。特にソフトウェアのバージョンに注意が必要である。
3.4 電磁的記録の保存性
3.1.3. 電磁的記録の保存性 |
上述したとおり、電磁的記録の長期保存において、電磁的記録の真正性を保証するためには、コンテキストを適切に管理することが重要である。
また電磁的記録の長期保存において、見読性を保証するためには、適切なファイルフォーマットを選択しなければならない。
電磁的記録の保存期間が電磁的記録媒体の保証期間を超える場合は、電磁的記録を新しい電磁的記録媒体に移行しなければならない。
3.4.1 電磁的記録媒体の管理等
3.1.3. 電磁的記録の保存性 |
紙媒体の場合は、比較的長期保存が容易である。ところが電磁的記録の場合は、保存に使用する電磁的記録媒体の経年劣化が問題となる。
CD-RやDVDなどの電磁的記録媒体は、通常その耐用年数は10年程度である。これは適切な保存方法を実施しての話である。
高温多湿やほこりまみれの状態に置いたり、傷をつけたのではすぐさま電磁的記録が読みだせなくなる危険性がある。
電磁的記録媒体は、当該記録に要求される保存期間をカバーできる耐用年数のものを使用することが望ましい。
また電磁的記録の特性に合わせた取扱い方法や保存方法をとらなければならない。
3.4.2 電磁的記録の移行
3.1.3. 電磁的記録の保存性 |
長期保存を行うために、当該電磁的記録を何らかの形で他の方式に移行(つまりファイルフォーマットの変換)する必要性が発生する場合がある。
この場合、既存システムにおいて、電子署名やタイムスタンプを付与している場合、コンテキストの継承の問題がある。
「eCTDモデル」の場合、例えば既存の文書がWordであり、PDFで長期保存する場合、Word文書に付与した電子署名はPDF化により失われてしまう。
また、電磁的記録を他の方式に移行した場合、元の電磁的記録が無くなれば、移行したものが確かに元のものと同一かどうか確認する方法が無くなる。
従って移行時に、正しく移行したこと(故意または事故により異なる文書になっていないこと)の保証が必要となる。
また保存中に修正が起こる場合(情報公開時の墨塗りなど)は、元の電磁的記録に付けられていた電子署名やタイムスタンプが修正後の電磁的記録については検証できなくなる。
4. おわりに
紙の記録に対して、電磁的記録は様々な追加的な管理要件が必要である。
何度も言及した通り、電子化には紙では考えられなかったようなリスクが伴う。
しかしながら、適切にバリデートしたシステムを使用すれば、その記録の信頼性は紙よりも高くなる。
もはや電子化の流れは止めることはできないのであるから、できる限り早い目に対応を取らなければならない。
さもなくば社内には、信頼性の保証が取れない記録があふれかえってしまうことになる。
参考
- 「PHARMSTAGE Vol.7, No.11 2008 ER/ES実践講座 (第2回)」技術情報協会 2008.2
- 「電子文書の長期保存と見読性に関するガイドライン」 平成17年2月 電子商取引推進協議会 他
- 「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」平成16年 法律第149号
- 「厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令」平成17年3月25日 厚生労働省令第44号
- 「医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について」平成17年4月1日 薬食発第0401022号