株式会社イーコンプライアンス

2022年9月19日にPIC/S GMP Annex I 「無菌医薬品の製造」が改定されました。
PIC/S GMP Annex Iは、2017年に12月20日にドラフト版が発行されてから、数回のパブリックコメントの募集を経てやっと最終化されました。
完全施行日は2023年8月25日です。ただし8.123項は2024年8月25日施行となりました。
今回のAnnex I 最終版は、EU GMPとPIC/S GMPの関連メンバーが共同で作成しました。なおEU GMP Annex Iは、2022年8月25日に発行されています。
改定版によっていったい何が変わったのでしょうか。また製薬企業におけるインパクトはどの程度のものでしょうか。

PIC/S GMP Annex Iが要求する無菌製剤管理の考え方はどういうものなのでしょうか。例えば、クリーンルームの清浄値とモニタリングの方法、管理基準値（アラート値、アクション値）の処置方法、汚染防止の考え方、製造用水の管理方法などなどです。
また、無菌医薬品の製造においては、リスクベースドアプローチが重要です。
リスクはどのように決定し、実践するべきでしょうか。

本セミナーでは、PIC/S GMP Annex I 「無菌医薬品の製造」に関して、初心者でも分かりやすく解説します。

　滅菌医療機器の場合、従来は主に滅菌プロセスのバリデーションが注目され、規格等も滅菌方法別に整備されているが、滅菌医療機器に欠かせないもう一つの柱である“包装プロセス”については、残念ながら滅菌プロセスのバリデーションのほんの一部として実施されているだけであった。
そこで今回ISO11607 “最終的に滅菌される医療機器の包装”が2019年に改訂されたことを機に、この規格のポイント、2006年版とのGAP解析など規格の概要だけではなく、試験方法として紹介されているEN868シリーズ、それに関連する国際規格、要求されている資料入手の考え方について解説する。また、新たに本格的に導入されたリスクマネジメント、ユーザビリティの基本的な考え方、要求事項、具体的な進め方、そのポイントについても分かり易く解説する。
最後にこのセミナーのまとめとして、みなさんが見かけることもある輸液セットを例に、リスクマネジメントによる製品要求事項の抽出、その対策とサポートするデータの決定、シールプロセスのバリデーション、開封時のユーザビリティテストについて再度説明し、理解度を深めていただきます。

本セミナーでは、グローバルQA監査、ベンダー監査、欧米当局査察の合計通訳回数100回を超える経験から、これまで目にした査察対応のベストプラクティスを紹介いたします。 査察の通訳をしていて感じるのは、工場のプロセスやドキュメントはしっかりしているのに、それらを査察官に効果的に説明できないともったいない！ということです。
査察官の質問を正確に伝えるだけでなく、SME（対応者）の説明を、査察官が好む用語やフレーズを用いてシンプルかつ説得力のある英語で表現することができれば、査察はスムーズに進みます。また、最近の査察でフォーカスされたトピック (データインテグリティや無菌性保証など) を例に、英訳文書でNGな訳し方や言葉の選択で指摘事項をもらった英語表現を解説いたします。
データインテグリティについては、QCラボ並びにIPCラボで実際の査察で査察官が頻繁に確認するポイントを、査察官が使う言葉やその用語が使われたコンテキストと共に解説します。

CSVの理論はわかったけど、具体的にCSV成果物の作成方法が全く分からないといった人が多いのではないでしょうか。
本セミナーでは、CSVにおいてソフトウェアの品質に最も大きく影響するテストに関してわかりやすく解説を行います。
一般にFDA等の規制当局が求めるソフトウェアのテスト方法と実施の記録方法（ログ）は、IT業界で行われているような形式では不足です。
GMP等で、厳密な記録が求められている通り、CSVにおけるテストの実施方法と記録方法は、詳細にわたり対監査性があるものでなければなりません。
本セミナーでは、テスト計画書、テストスクリプトの具体的なサンプルを配布し、どんな内容を記載するべきか、またどのように作成するべきかを初心者にもわかりやすく解説いたします。
サンプルは、電子ファイルで差し上げますので、今後のCSV実施には最適です。

■第1部：10:30～13:00
『クラウドコンピューティング利用時における電子記録規制要件とCSVアプローチ／DI対応』
＜講座主旨＞
昨今、GxP業務プロセスにおいても利用が増加しているクラウドコンピューティング。
規制対応上では、オンプレミスのシステム利用時と同様にコンピュータ化システムバリデーション（CSV）実施をする必要があり、生成する電子データに対しては電子記録の規制要件対応およびデータインテグリティ対応が要求される。
本講座では、CSV、電子記録要件、およびデータインテグリティの基礎を振り返るとともに、クラウドならではのCSV対応のアプローチ、CSV対応における注意点を概説する。また、クラウドプロバイダーを含む外部委託業者管理要件等についてGMP省令内容およびPIC/S Annex11の規制要件から振り返る。

＜講習会のねらい＞
・CSV、電子記録規制要件、データインテグリティ要件の振り返り
・クラウドコンピューティングに対するCSV対応のポイント
・クラウドプロバイダー管理のポイント

■第2部：14:00～16:30
『クラウドに関するFDA査察対応、及びクラウド基盤適格性評価計画書作成』
＜講座主旨＞
製造所において、製造所にサーバーを設置する必要がなく、且つ製造設備及び分析装置などと連結する必要性がない
クラウド系ITシステムであるドキュメント管理システム（DMS）、トレーニング管理システム（TMS）、クオリティ管理システム（QMS）及びサプライヤー管理システム（SQM）などを導入・維持・管理するために必須となる業務内容（事項）を説明する。さらにFDAなどの当局に、これらクラウド系ITシステムの導入・維持及び管理の妥当性/適格性をいかに説明するかに関して報告する。

＜講習会のねらい＞
製造所においてクラウド系ITシステムの導入のメリット及び、オンプレミス系ITシステムからクラウド系ITシステムへの統合メリットを報告する。

製薬業界においては、患者の安全性を確保するためにデータインテグリティに関心が高まっています。
紙媒体であれ、電子記録であれ、記録（データ）や文書の信頼性を担保することは極めて重要です。

改正GMP省令では、データインテグリティに関する手順書の整備が求められます。
いったいどんな手順書を作成すれば良いのでしょうか。
データインテグリティに関する手順書は、企業や組織で1冊作成すれば良いというものではありません。
現存の関連するすべての手順書にデータインテグリティを保証するための手順を埋め込んでいかなければなりません。

インテグリティ（integrity）を辞書で引くと「誠実」という意味であることが分かります。
では、データが誠実ということは何を意味するのでしょうか。
その答えは、規制当局にとってデータが信用できるということです。
そのためには、データは作成されてから現在までの経緯（例：変更）がわかるようにしておかなければなりません。
つまり紙媒体であれ、電子記録であれ監査証跡が必要です。
監査証跡が必要ということは、データが生データだけではなく、メタデータも含めて完全でなければならないということです。
したがって、データインテグリティは、「データの完全性」と訳されます。

ではいったい、データの完全性を担保するためには、どのような事項に留意するべきなのでしょうか。
またデータインテグリティが失われた場合、何が問題になるのでしょうか。

昨今の製薬企業では、記録を手書きにより作成することは非常に少なくなりました。
多くの場合、記録は電子で作成されます。
記録の保管については電子記録を紙媒体に印刷したものに手書き署名（記名・捺印）をするといったハイブリッドな使用方法が多くを占めます。
しかしながら、ハイブリッドシステムでは不正が容易になってしまいます。
つまり電子記録を改ざんした後に再印刷し、バックデートで署名するといった手口です。

電子記録と紙媒体の管理はどのように行うべきでしょうか。

一方において、FDAは1997年に21 CFR Part11を発行し、電子記録の信頼性に関する要求事項を明らかにしました。
しかしながら、その要件には実現が困難なものも多くありました。
特に問題となったのは、コンプライアンスコストです。
規制当局は、患者の安全性を担保するために規制要件を強化する必要がありますが、規制要件を強化しすぎるとコンプライアンスコストを高める結果となってしまいます。
製薬企業が負ったコンプライアンスコストは薬価に転嫁され、結果的には患者負担となってしまいます。
すなわち、いたずらにコンプライアンスコストを高めてしまうことは、逆に患者に負担を強いる結果となってしまうのです。
そこでFDAは、2003年に新しい医薬品監視指導方針として「リスクベースドアプローチ」という方法を発表しました。

FDAの最新のPart11の期待と指導はどのようになっているのでしょうか。
またFDAの査察官は、どのように電子記録の不正を見破るのでしょうか。

2015年には、イギリスのMHRAが「MHRA Data Integrity Definitions and Expectations」と呼ばれるガイダンスを発行しました。
その内容は非常に参考になります。
今後は世界の規制当局が同じようにデータインテグリティに関する期待を述べる機会が増えると思われます。

本セミナーでは、データや文書のインテグリティ確保に関する基本的な事項を要点をまとめてわかりやすく解説いたします。

またデータインテグリティSOPのサンプルを配布し、データインテグリティSOPの作成方法を説明いたします。

コンピュータ化システムのデータは、災害時などに備えて、バックアップを実施しておかなければなりません。
バックアップは、Part11、ER/ES指針、PIC/S GMP Annex 11などでも、必須要件です。
さらにバックアップは、真正性の要件です。
また、万が一の場合、すみやかにリカバリーができなければなりません。
リストアとリカバリは、異なります。いったい何が違うのでしょうか。
一方で、障害時などには、サプライヤのサポートが不可欠です。
そのためには、日ごろからサービスレベルアグリーメント（SLA）を締結しておかなければなりません。
SLAと保守契約は全く異なります。SLAって、いったい何でしょうか。
本セミナーでは、通常はセミナーなどで解説されていない「バックアップ/リカバリー計画書」「サービスレベルアグリーメント」の書き方についてサンプルを配布し、分かりやすく説明を行います。

2022年にPIC/S GMP Annex1において、「エンドトキシン/パイロジェン」とパイロジェンの記述が追記されました。「パイロジェンとエンドトキシンの区別」を再認識していただき、エンドトキシン・パイロジェン試験法の重要性をお伝えするとともに、エンドトキシン試験法・パイロジェン試験法が各局方の情報も踏まえこの機会にご説明させていただきます。

CSVを実施すると、膨大な成果物が発生します。
各成果物は、版数管理が必要です。
しかしながら、一般にあまり知られていないことは、ユーザ要求仕様書とバリデーション計画書とテストスクリプト・ログでは、版数管理の方法が全く異なります。
それらを知らないでドキュメントIDを付与してしまうと、後から困った事態になってしまいます。
いったい、文書管理はどうあるべきなのでしょうか。
またPart11、ER/ES指針、PIC/S GMP Annex 11などでは、教育訓練を要求しています。
教育と訓練は異なります。では、それぞれいつ実施すべきなのでしょうか。
教育訓練で必要なのは、「カリキュラム」「責任者」「記録」です。
いったい、教育訓練計画はどうあるべきなのでしょうか。
コンピュータ化システムを運用するにあたって、セキュリティは非常に重要です。
またPart11、ER/ES指針、PIC/S GMP Annex 11などでは、セキュリティ要求について非常に厳しいです。
セキュリティには、物理的・論理的・人的の3つの事象が考えられます。
では、なぜセキュリティは必要なのでしょうか。
電子署名を使用するためには、規則を制定しておかなければなりません。
電子署名とデジタル署名は異なります。
では、いったい電子署名とは何でしょうか？
またどのような電子署名の規則を制定すれば良いのでしょうか。
本セミナーでは、通常はセミナーなどで解説されていない「文書管理計画書」「教育訓練計画書」「セキュリティ計画書」「電子署名管理規則」の書き方についてサンプルを配布し、分かりやすく説明を行います。

FDA、GAMP 5、ER/ES指針に対応した「CSV対応ガイドライン」です。

2008年2月28日にGAMP 5が発表されました。2001年のGAMP4の発表から6年を経ての改定となりました。今回の改定では、Main BodyとAppendicesが変更されました。
GAMP 5は、現行の業界標準と最新の規制要件を満たしたとされています。
しかしながら、これは製薬業界のCSV SOPとのかい離が大きく、いわばGAMPが後追いをしたような感があります。
これまでのGAMP 4は、システムを一から構築することを想定していました。しかしながら多くの場合は、設定変更（コンフィギュレーション）が可能な市販製品（パッケージ）を利用することが多いはずです。
またGAMP 4は、工場の自動化システムを想定しており、いわゆるコンピュータシステムが対象ではなかったようです。
GAMP 4はタイトルが「GAMP Guide for Validation of Automated Systems」でしたが、GAMP 5では「A Risk-Based Approach to Compliant GxP Computerized Systems」となりました。

大きな変更点の一つ目は、ソフトウェアカテゴリーの変更です。
カテゴリー1は、これまでOperating Systemであったのが、
Infrastructure Softwareと変更になりました。これにはOSやデータベースやミドルウェアを含みます。
カテゴリー2は、Firmwareでしたが、もう使用しません。
カテゴリー3は、これまでStandard Softwareであったのが、
Non-configured Softwareと変更になりました。これは設定変更不可であるソフトウェアや、設定変更が可能（Configurable Software）であっても、設定変更していない（工場出荷時のままの値で使用する場合）ものを含みます。
カテゴリー4は、これまでConfigurable Software Packageであったのが、Configured Softwareと変更になりました。これはビジネスプロセスに合わせて、パラメータなどを変更し、機能を変更しているものです。
カテゴリー5は、これまで通りCustom Softwareで、変更がありません。

変更点の二つ目は、V-Modelです。
これまでGAMP 4では、パッケージであろうが自社開発であろうが、同様のバリデーションを要求していました。
GAPM 5では、V-Modelをカテゴリー3、4、5ごとに検証（テスト）基準を区別しています。
IQはGAMP5でなくなり、OQ、PQという検証のための用語は、特定しないこととなりました。つまり各社が適宜SOPで定義することになります。
業界の多くは、それぞれSystem Test、User Acceptance Testと呼んでいることが多いようです。GAMP 5のV-Modelの図では、それぞれFunctional Testing、Requirements Testingと記載されています。
カテゴリー4では、コンフィギュレーションの検証が新たにV-Modelに加わりました。おそらくこれは定義し、入力した設定値の読み合わせに相当するものと理解します。
カテゴリー5では、モジュールテストとインテグレーションテストが新たにV-Modelに加わりました。これらはGAMP 4では、V-Modelの底にあったソフトウェアの構築時（つまりコーディング時）に行われていたものです。通常これらのテストはサプライヤーが行うでしょう。

変更点の三つ目は、サプライヤーの活用です。これまではサプライヤーが行ったテストなどの活動を製薬企業が繰り返していました。またサプライヤーから入手したドキュメントを自社の様式に変換するといった非生産的な活動もされてきました。本来サプライヤーが作成したドキュメントを製薬企業側で再作成する必要はないはずです。
これらを見直しサプライヤーのQMS（Quality Management System）を尊重しようということになりました。サプライヤーは、自社のきちんとしたQMS（Quality Management System）を持っているべきで、彼らのソフトウェアの製造やテストなどの活動は自社のQMSに従って実施されるべきです。今後はサプライヤーオーディットがますます重要となるでしょう。

上述の通り、大きくは3つの変更点があるように感じます。しかしながらこれらは既に多くの製薬企業では実施してきたことではないでしょうか。
GAMP 5は、GxPコンピュータシステムを対象としていますが、まだまだGMPに特化しているような感があります。非臨床、臨床開発、市販後調査分野（R&D分野）においてGAMP 5対応のSOPを作成するには、それなりの労力がかかりそうです。