ER/ES実践講座 その4 ERESガイドラインの考察 (その2)


<連載 全12回> ER/ES実践講座(第4回)


ER/ES実践について研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

ERESガイドラインの考察 (その2)

 

前の講義へ 次の講義へ

1. はじめに

電磁的記録による資料および原資料の保存には様々な方法がある。
電磁的記録の真正性、見読性、保存性を確保するためには、各システムにおける当該電磁的記録の取り扱われ方に注意を払う必要がある。
ERESガイドラインを遵守するための手順書は、部門で1つのものではなく、各システム固有の特性に合わせたものでなければならないのである。

2. 電磁的記録による作成の2つの方法

第2回で紹介したとおり、厚生労働省令第44号の第6条(電磁的記録による作成)によると、電磁的記録による作成の方法には2通りある。
「ファイルに記録する方法」と「磁気ディスク等をもって調製する方法」である。
筆者は前者を「eCTDモデル」と呼び、後者を「EDCモデル」と呼ぶことにする。
ERESガイドラインに対応するためには、この2つのモデルの違いをよく理解しておくことが必要である。
「eCTDモデル」はワープロなどで作成した治験実施計画書、総括報告書、申請資料などのファイル(書面)を磁気ディスク等に保存しておくことになる。
「EDCモデル」は、通常は書面の形式ではなく、ビジット単位の症例データをリレーショナルデータベースに経時的に保存することになる。必要に応じてデータベースから適切な記録を抽出し、書面を印刷またはディスプレイに表示することになる。

3. 電磁的記録利用のための要件
3.1 バリデーション

3.1. 電磁的記録の管理方法
電磁的記録利用システムとそのシステムの運用方法により、次に掲げる事項が確立されていること。この場合、電磁的記録利用システムはコンピュータ・システム・バリデーションによりシステムの信頼性が確保されている事を前提とする。

電磁的記録利用システムという表記があるが、電磁的記録は必ずしもコンピュータシステムで扱われるとは限らないからであろう。
例えば資料や原資料を光ディスクなどの媒体に保存してある場合、それら記録をディスプレイに映すような装置も含まれる。
「電磁的記録利用システムとそのシステムの運用方法」と記載されているのは、前者が機能要件、後者が運用要件を指している。ERESガイドラインを遵守し、その目的を達成するためには、システムに対する機能要件とそのシステムを運用するための要件の2つの側面から対応が求められているのである。ちなみにPart11では、procedures and controlsと表記されている。
また当該システムはコンピュータ・システム・バリデーション(以下、CSV)により信頼性を確保しなければならない。CSVは、欧米での規制要件では多くの場合、Computerized System Validationと表記されており、Computer System Validationではないことに注意が必要である。
CSVはコンピュータシステムなどの“仕組み”の信頼性を確保することがその目的であり、ERESガイドラインはCSVで信頼性が確保されたシステム上の“電子データ”の信頼性を確保することが目的である。

3.2 電磁的記録の真正性

3.1.1. 電磁的記録の真正性
電磁的記録が完全、正確であり、かつ信頼できるとともに、作成、変更、削除の責任の所在が明確であること。
真正性を確保するためには、以下の要件を満たすことが必要である。

真正性はPart11ではAuthenticityと記載されている。
「電磁的記録が完全」とは、電磁的記録に不足がないこと、一貫していること、記録の意味が保たれていることである。
その為には、電磁的記録がAttributableでなければならない。
「eCTDモデル」の場合、その文書の内容や背景情報として「文書タイプ」「作成日付」「作成者」「版」「主題」「キーワード」「要約」「ステータス」などを管理する必要がある。通常これらをコンテキストと呼ぶ。
コンテキストが持つ意味は、より正確であることが重要で、「作成者」として明記された氏名が本当にその文書の作成者であること、また、それが正しいと確認できることが求められる。
通常、紙媒体の場合、捺印や手書き署名という行為は、「作成者」が正しいことを証明することを意味する。また、紙媒体の劣化などから、「作成日付」などのコンテキスト情報が正しいことが推測できる。
電磁的記録の場合は、コンテキスト情報をファイルに記載(例:MS-Wordではプロパティを利用する)しておく場合がある。しかしこの場合「作成者」「作成日付」などのコンテキスト情報を、いかに改ざんなどの不正行為から保護するかという課題がある。
デジタル署名を利用すれば、「作成者」を安全に記録しておくことが可能である。また「作成日付」は、タイムスタンプを利用することにより、同様に信頼性を確保できる。この場合、より厳格な信頼性を確保するためには、特定認証局による認証を得た電子署名や、タイムスタンプ局によるタイムスタンプを利用することとなる。
「EDCモデル」の場合、例えば治験責任医師が130という数値を入力したとしよう。この数字は「あるスタディの、ある医療機関の、ある被験者の、何回目の来院日の、血圧の最高値を測定したものである。」という説明があってはじめて意味が判明する。
また「電磁的記録が完全」であるためには、入力者、入力日が共に記録されていなければならない。さらに何らかの事情で電磁的記録を変更する場合には、変更前の値、変更後の値、変更者、変更時刻、変更の理由などが共に保存されていなければならない。
「電磁的記録が正確である」とは、電磁的記録が、

  1. オリジナルの記録の通りに正しく入力されていること。
  2. 必要に応じて読合せやダブルエントリーを実施すること。
  3. 当該ソフトウェアによる計算結果が正しいこと。
  4. 電磁的記録に対して、何らかのデータ処理が行われる場合、処理の前後のデータが正しく対応していること

などである。
「電磁的記録が信頼できる」とは、電磁的記録が、

  1. オリジナルであること。
  2. タイム・スタンプがつけられていること。
  3. セキュリティで保護されていること。
  4. 改ざんから守られていること。
  5. 変更などの記録がとられていること。
  6. 適時バックアップがとられており、災害などの際に復旧が可能であること。

などである。

3.2.1 セキュリティ

3.1.1. 電磁的記録の真正性
(1) システムのセキュリティを保持するための規則、手順が文書化されており、適切に実施されていること。

システムのセキュリティを確保することを求めており、それら規則、手順の文書化が必要である。
セキュリティには、物理的セキュリティ(入退出制限など)、論理的セキュリティ(パスワードなど)、ネットワークセキュリティ(ファイヤーウォールなど)などがある。
またパスワードを公言しないなど、人的なセキュリティにも配慮が必要である。
「規則」とは、ルール(例:パスワードは6文字以上など)のことである。「手順」とは、規則を守らせるための順序であり、誰が、いつ、何をするかを記載する。
「適切」とは、適切な手順に従って、適切な人が、適切なタイミングで実施することである。
「実施」とは、実施し、実施した記録を作成することである。記録を作成するフォームを手順書に定義しておかなければならない。
「規則、手順が文書化される」とは、実施規定、作業手順等が文書として作成され、承認され、管理されることである。

3.2.2 監査証跡

3.1.1. 電磁的記録の真正性
(2) 保存情報の作成者が明確に識別できること。また、一旦保存された情報を変更する場合は、変更前の情報も保存されるとともに、変更者が明確に識別できること。なお、監査証跡が自動的に記録され、記録された監査証跡は予め定められた手順で確認できることが望ましい。

監査証跡は、電磁的記録に対して非改ざん証明を行うためのものである。
また監査証跡は、コンピュータ・システムによって自動的に記録されなければならない。
監査証跡の機能を持たないシステムは、本指針に適合せず、電磁的記録(適用範囲に限る)を保持してはならない。
例えば、スプレットシートやワープロなどで作成した電磁的記録を、個人のPC内のハードディスクあるいはネットワーク上のファイルサービスに保持しておいてはいけない。
ドキュメント管理システムなどの、セキュリティで守られており、監査証跡が自動的に記録されるシステムで管理しなければならないのである。
この条文の解釈と適用は、「eCTDモデル」と「EDCモデル」で異なる。
「eCTDモデル」においては、「治験実施計画書」を例に考察するとこうなる。

  1. 「保存情報の作成者」とは、「治験実施計画書」を承認した者のことであり、文書の内容に責任を持つ者である。「治験実施計画書」をタイプしたり、文書管理システムに登録したオペレータを指すのではない。従って作成者は自動的に記録されない。コンテキストとして別途入力する必要がある。
  2. 「一旦保存された情報」とは、治験責任医師と合意した「治験実施計画書」の初版(Ver.1.0)を指す。
  3. 「変更前の情報を保存する」とは、何らかの事情で「治験実施計画書」を変更する場合に、Ver.1.0を消去することなしに保存しておき、新しく作成されたVer.1.1も同様に保存しなければならない。
  4. 「変更者」とは、同様に変更に責任を持つ者である。変更者も自動的に記録されない。コンテキストとして別途入力する必要がある。
  5. 「治験実施計画書」のVer.1.0とVer.1.1では何が変更されたかまでは、当該電磁的記録利用システムが自動的に記録する必要はない。

「EDCモデル」においては、下記のようになる。

  1. 「保存情報の作成者」とは、症例データをEDCシステムに入力した治験責任医師などを指す。つまり「EDCモデル」では、オペレータと作成者が一致する。従ってこの場合、作成者は自動的に記録することができる。
  2. 「一旦保存された情報」とは、サーバに送信され記録された症例データのことである。
  3. 「変更前の情報を保存する」とは、「一旦保存された情報」を上書きすることなく、適切に退避させておくことである。
  4. 「変更者」とは、データの変更を行った者である。
  5. 監査証跡には、作成者、作成時刻、変更者、変更時刻、変更前の値、変更後の値が記録されていなければならない。

「自動的に記録される」とは、当該システムの機能により記録するという意味である。
「記録された監査証跡は予め定められた手順で確認できる」とは、画面上または帳票上で監査証跡を確認できる機能を持っており、その確認手順が文書化されていることを指す。

3.2.3 バックアップ

3.1.1. 電磁的記録の真正性
(3) 電磁的記録のバックアップ手順が文書化されており、適切に実施されていること。

火災や地震などの災害やウィルス被害などにより電磁的記録の一部または全部を失うことがあっても、リカバリーができるよう、電磁的記録のバックアップを適切に実施しておかなければならない。
バックアップは、真正性の要件である。なぜならば、電磁的記録の信頼性を確保するためにバックアップが必要だからである。
電磁的記録の信頼性を確保するためには、バックアップが適切に(例:週に1度)行われており、リカバリーが可能な状態が保証されていなければならない。
バックアップ及びリカバリーの手順を定め、実施し、その記録を作成しておかなければならない。

3.3 電磁的記録の見読性

3.1.2. 電磁的記録の見読性
電磁的記録の内容を人が読める形式で出力(ディスプレイ装置への表示、紙への印刷、電磁的記録媒体へのコピー等)ができること。

見読性は、規制当局の調査や実地査察時、社内監査時、または本指針への適合性確認などで、電磁的記録を確認するために必要な要件である。
電磁的記録の内容は、適切なソフトウェアの助けを借り、ディスプレイに表示又はプリントアウトすることなどにより初めて確認できる。
電磁的記録を保存するデータ形式には、特定の企業によって定義され、フォーマットが公開されていないもの(例:MS-Excel、MS-Wordなど)も多数ある。こうした形式では、当該企業がそのサポートを止めた場合に、適切な表示ができなくなってしまうというおそれがある。こうした問題は、OSやソフトウェアを交換又はアップグレードした際にも生じうるものである。
「人が読める形式」とは、書面の形式に戻すことを言う。
e-文書法の定義にはこうある。

  1. 電磁的記録とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式
  2. 書面とは、人の知覚によって認識することができる情報が記載された紙その他の有体物

つまり電磁的記録により保存を行うということは、人の知覚によっては認識することができない形式にしてしまうことであり、書面の形式に戻すことによって、「人が読める形式」となるのである。
保存期間中、見読性を確保するためには、以下の要件が必要である。

  1. 当該電磁的記録媒体を読み出せるドライブが共に維持されていること。
  2. 当該電磁的記録を読み出せるソフトウェアが共に維持されていること。特にソフトウェアのバージョンに注意が必要である。
3.4 電磁的記録の保存性

3.1.3. 電磁的記録の保存性
保存期間内において、真正性及び見読性が確保された状態で電磁的記録が保存できること。
保存性を確保するためには、以下の要件を満たすことが必要である。

上述したとおり、電磁的記録の長期保存において、電磁的記録の真正性を保証するためには、コンテキストを適切に管理することが重要である。
また電磁的記録の長期保存において、見読性を保証するためには、適切なファイルフォーマットを選択しなければならない。
電磁的記録の保存期間が電磁的記録媒体の保証期間を超える場合は、電磁的記録を新しい電磁的記録媒体に移行しなければならない。

3.4.1 電磁的記録媒体の管理等

3.1.3. 電磁的記録の保存性
(1) 電磁的記録媒体の管理等、保存性を確保するための手順が文書化されており、適切に実施されていること。

紙媒体の場合は、比較的長期保存が容易である。ところが電磁的記録の場合は、保存に使用する電磁的記録媒体の経年劣化が問題となる。
CD-RやDVDなどの電磁的記録媒体は、通常その耐用年数は10年程度である。これは適切な保存方法を実施しての話である。
高温多湿やほこりまみれの状態に置いたり、傷をつけたのではすぐさま電磁的記録が読みだせなくなる危険性がある。
電磁的記録媒体は、当該記録に要求される保存期間をカバーできる耐用年数のものを使用することが望ましい。
また電磁的記録の特性に合わせた取扱い方法や保存方法をとらなければならない。

3.4.2 電磁的記録の移行

3.1.3. 電磁的記録の保存性
(2) 保存された電磁的記録を他の電磁的記録媒体や方式に移行する場合には、移行された後の電磁的記録についても真正性、見読性及び保存性が確保されていること。

長期保存を行うために、当該電磁的記録を何らかの形で他の方式に移行(つまりファイルフォーマットの変換)する必要性が発生する場合がある。
この場合、既存システムにおいて、電子署名やタイムスタンプを付与している場合、コンテキストの継承の問題がある。
「eCTDモデル」の場合、例えば既存の文書がWordであり、PDFで長期保存する場合、Word文書に付与した電子署名はPDF化により失われてしまう。
また、電磁的記録を他の方式に移行した場合、元の電磁的記録が無くなれば、移行したものが確かに元のものと同一かどうか確認する方法が無くなる。
従って移行時に、正しく移行したこと(故意または事故により異なる文書になっていないこと)の保証が必要となる。
また保存中に修正が起こる場合(情報公開時の墨塗りなど)は、元の電磁的記録に付けられていた電子署名やタイムスタンプが修正後の電磁的記録については検証できなくなる。

4. おわりに

紙の記録に対して、電磁的記録は様々な追加的な管理要件が必要である。
何度も言及した通り、電子化には紙では考えられなかったようなリスクが伴う。
しかしながら、適切にバリデートしたシステムを使用すれば、その記録の信頼性は紙よりも高くなる。
もはや電子化の流れは止めることはできないのであるから、できる限り早い目に対応を取らなければならない。
さもなくば社内には、信頼性の保証が取れない記録があふれかえってしまうことになる。

参考

用語集






QMS構築支援

FDA査察対応