Subpart A 一般規定
11.1 適用範囲(Scope)
- この条項で規定されているのは、電子記録および電子署名ならびに電子記録に付された手書き署名は信用性があり,信頼でき,一般的に紙を使用した記録および紙に書かれた手書き署名と同等であるとFDAが見なす場合の基準についてである。
- この条項はFDAの規則で記録が要求されていることに伴い、作成されたり変更されたり、保持されたり、保管されたり、検索されたり、配信されたりする電子形式の記録に適用される。
- 電子署名ならびにその署名の対象となっている電子記録がこのパートの要件に合致する場合には,FDAは電子署名を,FDA規則で要求される手書きの正式署名,イニシャルによる署名,その他一般的なサインと同等とみなす。ただし,1997年8月20日以降に施行された規則により除外されていることが明確なものは除かれる。
- このパートの要件に合致する電子記録は,文書による記録が明確に要求されている場合を除き,セクション11.2に基づき文書による記録の代わりとして使用することができる。
- この項にもとづいて保持されている(ハードウェア,ソフトウェア両方を含む)コンピュータシステム,管理要領,付随する書類はFDAの査察が容易に可能となる状態におかれ、査察を受けるものとする。
11.2 実施(Implementation)
- 保持する必要はあるが,FDAに提出する必要はない記録類については,この条項の要件が満たされることを条件として,全体としてでも部分的にでも,文書の記録に代えて電子記録を,従来方式の署名に代えて電子署名を使用することができる。
- FDAに提出する記録類については,全体としてでも部分的にでも,文書の記録に代えて電子記録を,従来方式の署名に代えて電子署名を使用することができる。ただし,以下を条件とする。
この条項の条件が満たされること。
提出を要する書類またはその一部が,電子形式のものをFDAが受け入れる種類の提出物として,公開処理予定事項表第92S-0251で指定されたものであること。この事項表で,文書の記録なしで電子形式による提出する書類またはその一部がどのような種類のものであれば受理されるかということと,(特定のセンター,事務所,部局、支局など)提出先のFDAの受理窓口が明確になっているものとする。事項表で指定されていないFDAの受理窓口宛の書類は、電子形式で提出された場合には,正式のものとはみなされない。そのような書類が文書形式であれば正式とみなされるので,電子記録に文書形式のものが添付されでいることが必要である。(送達方法,媒体,ファイルの書式,技術プロトコールなどは)どのような方法とするか、また,電子形式の提出とすることで進めてよいかどうかの詳細については,対象となるFDAの提出窓口に相談するようにとしている。
11.3 定義(Definition)
- FFDCA(連邦食品・医薬品・化粧品法)のSection 201にある用語が本Partで使用されている場合、その定義と解釈はFFDCAのSection201に従う。
- 以下の用語の定義も、本Partに適用される。
Actとは、Federal Food,Drug and Cosmetic Act (Section 201−903(21U.S.C.321−393))(連邦食品・医薬品・化粧品法)を意味する。
Agencyとは食品医薬品局(FDA)を意味する。
バイオメトリックスとは,各個人の身体上の特徴か反復可能な行動またはこの両方が当人に独特のもので測ることのできるものである場合に,その特徴または行動の測定にもとづいて当該個人その人であることを確認する方法をいう。
クローズドシステムとは,システム上の電子記録の内容に責任を有する人がシステムへのアクセスを管理する環境を意味する。
デジタル署名とは,署名者が本人であることやデータの真実性が確認できるように,一連の規則やパラメータを使用しコンピュータにより行われる,認証を暗号化する方法にもとづいた電子署名のことである。
電子記録とは,コンピュータシステムによって作成されたり,変更されたり,保持されたり,保管されたり,検索されたり,配信されたりするデジタル形式の文章、図表、データ,音声,図形その他による情報表現のいずれかを問わない組合せのことをいう。
電子署名とは,人が,自分の手書き署名と法的に同等の拘束力あるものとして実際に使い,採用し,あるいは認める記号または一連の記号によりコンピュータのデータを編集したものを指す。
手書き署名とは,署名の時点でそれが恒久的なものとして書かれた本物の筆跡であることを立証する意図の下に1個人により手で書かれ実際に使われたかまたは採用された,その個人が手書きした名前または法定のマークのことをいう。ペンやペン類似の器具などの筆記用具またはマ一キング用具で署名するという行為は存続される。手書の名前や法定のマークは,従来は紙に記されているが,その他の名前やマークを記録するために考案されたものにも付すことができる。
オープンシステムとは,システム上の電子記録の内容に責任を有する人がシステムへのアクセスを管理することはしない環境を意味する。
Subpart B 電子記録
11.10 クローズシステムの管理
電子記録を作成し,変更し,保持し,伝達するためにクローズシステムを使用する者は、電子記録の信憑性および真実性,さらに該当する場合には秘密性も含めてこれらが保証されるように,また署名者が署名した記録が真正のものでないと否認することが容易にできないようにするために考案された手続きと管理方法を併用しなければならない。
かかる手続きと管理方法には次の内容を含むものとする。
- 正確性,信頼性,意図した性能の一貫した確保,ならびに無効となったり変更されたりした記録を識別する能力が保証されるようにするためのシステムのバリデーション
- FDAの査察,審査,複写に適した,人間の目で読める形と電子形式の両方で記録の正確かつ完全なコピーを作成できること。FDAが電子記録の審査および複写を行うことができることというこの要求について分からない点がある場合には,FDAと連絡をとること。
- 記録の保管期間を通じて記録の正確で容易な検索を可能とするような記録の保護
- システムへのアクセスを許可された者のみに限定すること
- オペレータの入室の日時や電子記録を作成し,変更し,削除する行為を独自に記録する安全確実な,コンピュータ生成の,時刻記録の入った監査証跡の使用。
記録を変更する際には、以前に記録された情報が見えにくくなるようにしてはならない。かかる監査証跡関係の文書は,少なくとも当該電子記録に要求される期間と同じ期間保管することが必要で,FDAのチェックとコピーができるようになっていなければならない。 - 適宜,システムの稼動状態チェックを利用し,手順と処理が所定の順序通りとなるようにすること。
- システムの使用や,記録への電子署名,操作システムやコンピュータシステムの入出力装置へのアクセス,記録の変更,または手元の操作を行うことができるのは,権限ある要員ののみに限られるように,権限チェックを利用すること。
- 適宜,データ入力や操作の指示の根拠となっている事項の有効性を判定するために(端末装置などの)装置チェックを利用すること。
- 電子記録/電子署名システムを開発したり,保持したり,あるいは使用したりする者は,自らに割り当てられた職務を遂行するための教育,訓練を受け,経験を積んでいることの確認。
- 記録および署名の偽造を阻止するために,各個人がその電子署名の下に実施した行動に対し,その個人に責任と義務を負わせる方針書を作成し遵守すること。
- システム関係の文書化に対し適切な管理を行うこと。これには下記が含まれる。
システムの運用と維持に関する文書の配布,文書に対するアクセス,および文書の使用に対する適切な管理
システム関係の文書を時間を追って順序通りにその作成と変更を記録した監査証跡を保持するための改訂・変更管理の手順
11.30 オープンシステムの管理
電子記録を作成したり,変更したり,保持したり,伝達したりするためにオープンシステムを使用する者は,電子記録の作成からその受領までの局面において,電子記録の信憑性および真実性,さらに該当する場合には秘密性も含めて,これらが保証されるように考案された手順と管理要領を使用しなければならない。この手順および管理要領には,適宜セクション11.10に明記されているものを含め,また,状況により必要とされる場合には,記録の信憑性,真実性ならびに秘密性を保証するために,文書の暗号化やデジタル署名の適切な基準の使用などの方策を追加として含めることが必要である。
11.50 署名の明示
- 署名された電子記録には、下記事項のすべてを明確に示す署名に関連した情報が含まれていなければならない。
- 署名者の印字氏名
- 署名がされた日時
- (審査、承認、責任、作成者など)その署名がどういう意味でなされたかの表示
- 本セクションのa1、a2、a3項に記載された事項には,電子記録に対するのと同様の管理が行われる必要があり、また,(電子表示または印字出力など)電子記録の人間の目で読める形式の部分として電子記録に含めなければならない。
11.70 署名と記録のリンク
電子記録に付された電子署名および手書き署名は,通常の手段で電子記録を偽造する目的でこれらの署名を行ったり,コピーしたり,その他何らかの形の移転をしたりすることができないようにするために,ぞれぞれの電子記録とのリンク付けがなされなければならない。
Subpart C 電子署名
11.100 一般的な要求事項
- 電子署名はそれぞれが1個人に独自のもので,他の者により再使用されたり,他の者に再割り当てされたりしてはならない。
- 組織が個人の電子署名または電子署名のなんらかの要素を設定し,割り当て,証明もしくはその他の方法で認可する場合には,その前に当該組織はその個人の本人確認を行わなければならない。
- 電子署名を使用する者は,その使用前もしくは使用時に,当該企業のシステムでの電子署名は1997年8月20日以降の使用に関わるもので,従来の手書き署名と法的拘束力が同等であることを意図したものであることを,FDAに証明しなればならない。
この証明書は,Office of Regional Operations (HFC-100), 5600 fishers lane, Rockville,MD
20857宛に,文書による形式でかつ従来方式の手書き署名を付して提出しなければならない。
電子署名を使用する者は,FDAの要求あり次第、特定の電子署名が当該署名者の手書き署名と法的拘束力が同等のものであるという証明書または宣誓書を上記に対する追加として提出しなければならない。
11.200 電子署名の構成要素と管理
- バイオメトリクスによらない電子署名
- 識別コードとパスワードのように,少なくとも2つの別個の識別要素を使用すること。
一個人が,管理されたシステムへのアクセスを行う1回の連続した期間中に,一連の署名を行う場合,最初の署名は電子署名の全構成要素を使用し実施しなければならない。以降の署名は,当該個人でしか行えず,その個人だけが使うものとして考案された電子署名構成要素を少なくとも1つ使用して行うものとする。
一個人が管理されたシステムへのアクセスを行う1回の連続した期間中には実施しなかった1つまたは複数の署名を行う場合には,その署名はそれぞれ電子署名構成要素の全部を使用して行わなければならない。 - 使用するのはその真のオーナーのみとすること。
- 真の所有者でない別の者がある人の電子署名を使おうとする場合に,それが2人以上の者の共同作業によらないとできないような方法で,管理され、実施されること。
- 識別コードとパスワードのように,少なくとも2つの別個の識別要素を使用すること。
- バイオメトリクスにもとづく電子署名は,その真の所有者以外の者は誰であっても使用できないようにするような方式で計画されていなければならない。
11.300 IDコードとパスワードの管理
パスワードと組み合せた識別コードの使用をベースにして電子署名を使用する者は,そのセキュリティと真実性が保証されるように,諸種の管理方法を利用しなければならず,それには下記のものが含まれるものとする。
- 識別コードとパスワードの組合せのそれぞれが独自性を保持し,同一の識別コードとパスワードの組合せを2人の者がもつことはないようにすること。
- (パスワードの使用期間の長期化などへの対応として)識別コードおよびパスワードの発行状況を定期的にチェックし,取消しや改訂がされるようにすること。
- 識別コードやパスワード情報が記録されていたり,またこれらの情報を生成したりするトークンや,カード,その他のデバイスが紛失したり,盗まれたり,見つからなかったり,その他なんらかの支障が生じている可能性がある場合に,これらを電子的に無効とし,適切で厳格な管理方法を使用し,仮のまたは恒久的な代替品を発行するための紛失管理手順に従うこと。
- パスワードが識別コードまたはこの両方が不正に使用されることを防止し,また不正な使用をしようとする企てを発見し,当該システムのセキュリティ担当部門ならびに,適宜,組織の経営者層に対し直ちに緊急報告をするためのトランザクション保護手段の使用。
- 識別コードまたはパスワード情報が記録されていたりまたこれらの情報を生成したりするトークンやカードのようなデバイスが適切に機能し,不正な方法で改変されることのないようにするために,これらに対して当初とその後に定期的なテストを実施すること。
