出版記念講演会(2008年10月7日)セミナー ご質問の回答
出版記念講演会セミナー ご質問の回答
出版記念講演会セミナー(2008年10月7日)にて寄せられたご質問の回答のページです。
*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
本文書の改訂は予告なく行われることがあります。
* 本ページは作成途上です。日々更新を行います。(最終更新日2008年10月18日)
ご質問の回答
- Part11, Annex11(改訂版)、厚労省ERES指針の一番の違いは何ですか?
- Part11と日本ER/ESの違いは何ですか?
- P37のスライドで「Part11と厚労省ER/ES指針は整合していない」との説明がありましたが両者の違いを教えて下さい。
- 厚労省ER/ES指針は、審査管理課が作成しました。一般にCSVやPart11やANNEX11といったバリデーションやER/ES規則は、品質(GMP)側が作成します。
厚労省ER/ES指針は、もともとeCTDにおける申請資料の信頼性を確保する目的でドラフトされました。その対象は資料及び原資料です。
厚労省ER/ES指針と21 CFR Part 11の違いを表にまとめました。
| 厚労省ER/ES指針 | 21 CFR Part11 | 備考 | |
|---|---|---|---|
| スコープ | 申請等に係る「資料」および「原資料」 | プレディケート・ルールによって管理することが要求されている記録 | *1 |
| 電子記録に対する要件 | 「真正性」「見読性」「保存性」 | Authenticity、Integrity、Confidentiality、見読性、検索性 | 「機密性」 |
| ハイブリッドシステムに関する要件 | 記述なし | 容認 | |
| バックアップ要件 | あり | 明確な記載なし | 「Computerized System Used in Clinical Trials」には記述あり |
| 電子署名 | 電子署名法に基づく電子署名 | ユーザID+パスワードによる(バイオメトリックス) | 監査証跡により改ざんを発見 |
| 手書き署名又は捺印と同等のものとして行われる署名(省令44号7条) | 法的拘束力のある署名行為 | ||
| アプローチ | なし | リスクベースド 「電子記録」は「プレディケートルール」に従って運用すること |
Scope & Application |
| 出力 | 「ディスプレイ」「印刷」「記録媒体へのコピー」など | 「ディスプレイ」および「印刷」および「記録媒体へのコピー」 |
- 冒頭に、「Annex11はコンピュータ化システムの使用と複雑性の増加に対応し最新にした。」とあります。
さらに現在のANNEX11は、
・1990年代初頭に発行されており、古いこと
・たった2ページで簡潔すぎること
・電子化が進み、査察に対してより詳細な要件が必要となったこと
・GMPの第4章 documentationも改定することとなった
などでしょうか。
- ご質問はリスクベースドアプローチのことではないように思います。スタンダーとそれ以外の2つだけでリスクアセスメントができるわけではありません。リスクベースドアプローチは、すべてのコンピュータ化システムに対して相対的に順位を決め、リスクの高いものから順に対応を図るというものです。
なおリスクは、データの完全性、製品の品質、患者の安全に影響する度合(重大さ)や、規模、複雑さ、そして目新しさなどによって評価されるものです。
なお新しいものには必ず欠陥が潜む、というのがGAMP 5で採用しているFMEAというリスクマネージメントの考え方です。
- 含まれます。
CAPAは、GAMP 5でも取り上げられ、FDAが重点的に査察を行っている領域でもあります。
- GCP、GLPにもコンピュータ化システムに関する記述はあります。(日本、米国も同様です。)
- 監査証跡を残す為にどのようなアプリケーションが良いでしょうか?
- 報告書を作成、承認する場合。品質を保つ為に手順書の改定履歴(必要?)
- メールを利用して、承認履歴を残す方法をどのように思われますか?
- CSVは実施しているものの、想定しなかったケースでシステムの不具合があり監査証跡が落ちた場合、どのような対応が望ましいですか?
- 例えば、パッケージシステムのDBに読み込み専用でレポーティングツールを使用している場合、「記録を修正しないので監査証跡まではいらないがアクセスログのみ取得する」という解釈は正しいですか?
- スライド7:臨床検査データ
audit trailは「computerによりgenerateされなければならない」とスライドにあります。FDAの「Computerized System Used in Clinical Investigations」ではその通り記載されていますが「Part11(2003年Final)Scope & Application」にはそこまで記載されていないように思われます。監査の際「アドバイス」はできますが「Observation」とまではしづらいと思います。(実際どこに書いてあるんだと言われました。海外での話)
スライド10:Audit trailの代わりに修正がある毎にデータ(臨床検査データ)を紙に打ち出して電子は消去されます。監査の際「Observation」とすると「Part11 Scope & Application」を楯に「紙で問題ない」(理由、日付、finalのサインあり)と主張されます。(これも海外venderの話)
上記2つに関し(根本は同一です)コメントを頂けたらと思います。NGなのは理解してりますがVendor=Laboratoryを理解させるのに(新たに機能を追加するとお金もかかりますし)苦労しております。 - 電子記録の監査証跡の他に、システムに誰がログインして、何時ログアウトした、又はシステムのポリシーの変更等の記録も存在するが、このシステムの証跡のデータの取り扱いはどの様にするのか?原資料の電子記録と同様の取り扱いか?
- 監査証跡(ここでは修正証跡)について、誤解が多いようです。
修正証跡は、人が操作し、データを変更できる機能に対して自動的に採取する必要があります。
つまり測定機器等のデータは対象でないことが多いです。(オペレータが修正できる場合は除く)
またデータをロックする機能がある場合、ロック後は修正証跡はとりません。
CD-Rのように修正が不可能な媒体に対しても、修正証跡はとりません。(というよりとれません。)
さらに辞書、コード、ユーザ登録等に関しても、修正証跡はとりません。
Part11では、監査証跡はコンピュータが自動生成することと§11.10(e)に記載があります。
- 紙が原本でしたら、バックアップは不要です。
電子を原本にする場合、事前にどの電子記録が原本であるかを特定しなければなりません。その原本に対してバックアップを行ってください。バックアップは原本にはなり得ませんので注意してください。バックアップはあくまでも原本が災害時などに失われた際に復旧させるものであって、電子記録を保存しておくものではありません。したがってバックアップは日々作成されるべきもので、劣化対策はほとんど必要ありません。
ご質問の趣旨が、バックアップではなくて、電子原本の保管であるならば、話は違います。CD-Rを電子原本と定義する場合、劣化対策は必須です。CD-Rの保証期間(おおむね10年)以内に新しいメディアに移行させなければなりません。
CD-Rは安価ですが、このようにいずれは手間がかかってしまします。従って、電子データを原本として運用する場合は、LIMSなどのデータベースの導入が望まれます。
- 今後の厚労省がグローバルスタンダードでの査察を実施する事になった時に、例えば査察においてCSVに重要な問題が指摘された場合、新薬の申請等の審査等にどのような影響がありますか?
- GCPにおいて、統計解析システムは、日・欧・米、の当局に見られることがあるのか?あるいは実績はあるのか?
- FDAの場合、GMPなどのPredicate Rulesに対して、重大な不適合があれば、相応の法的執行手段が適用されることがあります。
・FDA-483 Form(規制不適合等の指摘事項)
・Warning Letter
・ライセンスの一次停止・取り消し
・差止め
・押収
・輸入制限
・告訴/民事刑罰
このうち上2つに関しては、あらかじめわかりますが、その他は予告なく突然実施されます。
新薬の承認審査の場合も同様で、申請却下などの措置が行われる可能性があります。
統計解析システムは、当然当局の信頼性調査における関心事ですので、調査される可能性があります。
FDAでは、査察時に臨床試験の再現(この場合は再解析の実施)を求める場合があります。申請したデータがどのように導き出されたかを常に記録しておかなければなりません。さらにFDAは、申請されたデータをもとに、FDA自身が製薬企業と同等またはそれ以上の解析を実施することがあります。そのため、1995年当時はCANDAといって、コンピュータによる新薬申請(解析ツールごと申請する)が試みられました。
- 残念ながら言えません。
まずタイプライターイクスキューズをよく理解してください。
タイプライターイクスキューズとは、Part11査察の際に製薬企業が『真の記録は紙の記録である。我々はコンピュータを単に記録を作成するために使っているに過ぎない。』 と主張したことを指します。これに対してFDAは『たとえば電子記録が作成されない場合のように、コンピュータが本当にタイプライターのように使用されている時のみ、Part 11は適用されない。』 と答えたわけです。
タイプライターとWordの文書の違いは、電子記録を保持するかしないかです。つまり電子記録を保持する場合は、改ざんできる可能性があります。
ただし、当該文書がどのようなものかによって、対応は異なります。あくまでもFDAに申請する文書や、法律やGMPなどのPredicate Rulesで保存が義務つけられている文書・記録が対象です。つまり製品の安全性(Safety)、有効性(Efficacy)、品質(Quality)に直接または間接的に影響を与える文書・記録が対象です。このようなデータをGxPデータと呼びます。
- EDCのバリデーションで施設側のPC上でのバリデーションは必要ないのですか?現実的に難しいと思いますが、どのように解釈すればよいのでしょうか?
- 例えばモニターさんが検査会社から検査データを入手し、Excelに読み込み、Excelのグラフを作成し、CRFの修正、何らかの逸脱報告書などの提出を促す為にExcelのグラフ資料を提示している場合、バリデーションは必要という解釈で正しいですか?その際監査証跡は必要ですか?
- 臨床検査データについて、医療機関での紙の検査結果(原本)と会社へ提供された電子データ(解析に利用)検査結果(原本でない)の一致性の確認はどのようにするか?というPMDAからの質問へはどのように回答すべきか?
- プレゼン資料P14、H18.9.21付課長通知(記録の保存等 第26条1項)3. 6) 「データの修正を行う権限を与えられた者の名簿を作成し管理すること」とあるが、この名簿がEDCを利用する際の署名印影一覧に該当するものになるのか?具体的にはどういうものか?何が盛り込まれていなければならないか?
- EDCを一般的なWebブラズザで使用する場合、バリデーションはほとんど不要です。ただし、施設のネットワーク等のインフラ、使用しているPCのOSやブラウザのバージョン等の環境を事前調査しておく必要があります。つまり安定稼働が可能であることの確認というバリデーションを行います。ちなみに環境がそぐわない(相違がある)場合は、治験依頼者からPC等を貸し出すのが通例です。
当該Excelは、あくまでもツールであり、申請資料や必須文書に添付されるものではありませんので、バリデーションは必ずしも必要ではありません。ただし、規制リスクはなくとも、もしバグなどの不具合があった場合、当該医療機関などに迷惑がかかることが予想されますので、それなりの品質確認はしておくべきでしょう。
臨床検査データの紙と電子の一致は、医療機関に赴き実施するSDVにより確認しなければなりません。
「データの修正を行う権限を与えられた者の名簿を作成し管理すること」は、 EDCを利用する際の「アカウント管理表」に相当します。
紙媒体によるCRF運用時と異なる点として、署名印影一覧は、治験責任医師等の医療機関関係者のみであるのに対して、EDCの場合は、依頼者側のモニターやDMなどのユーザも含まれる点です。
- 電子データのQC、QAのポイントについて
- (電子カルテの場合の)QC、QAのポイントについて
- GAMP5対応とQAの役割について、GAMP5に対応してCSV QA活動の合理的な実践を考慮していますがQA部門の関与の程度(頻度、深度)と必要性(どこまで直接的に関与する必要があるか)についてご教授願います。
- まずQCとQAの相違をよく認識してください。多くの場合、QAの人もチェックを繰り返し、「監査」のみを行っていることが多いです。
一般に、品質管理(QC)とは、顧客の要求を満足させる品質をもった製品を作り出し、顧客に提供する機能を言います。
日本の製薬企業において、QCは「品質をチェック」することと勘違いされている傾向があるように思われます。QCはQuality Controlの略であり、Quality Checkではありません。
多くの製薬企業においては、データの入力に際して、ダブルエントリーを用い、また読みあわせを数回行うなどして入力ミス等を修正していますが、この作業はあくまでもCheckでありControlではありません。
QC担当者の役割は、業務プロセスがSOP(標準)から逸脱した(またはしそうな)場合において、それを指摘し、正しいプロセスへと誘導(Control)することです。けっしてデータの入力ミスを見つけてあげることではありません。
一般にデータの入力ミスを入力に責任を持つ者ではなく、他の者(この場合はQC部門)が修正すると、プロセス中のデータの品質は向上しにくくなります。Checkだけではなく、Controlすることにより品質は向上します。
原則は、データソース側がデータの品質に責任を持つことです。
では品質保証(QA)は何かというと、品質にいわゆる「お墨付き」を与えることです。利害関係のない第三者が見て、確かに要求される品質が達成できているという証拠を元に、保証を行うのです。
日本ではQAは監査(Audit)に重点が置かれています。QAはQuality Assuranceの略であり、Quality Auditではありません。
監査は、事後に抜き取りによってCheckと指摘が行われるのが一般的です。この方法では、非監査部門が行ったCheckを繰り返していることになります。海外から、日本ではQA部門もQCを行っていると揶揄されることもあると聞きます。皮肉にも日本の製薬企業が新薬申請に使用するデータは、Checkを繰り返し行っていることから、世界で最も品質が高いとされています。しかしながら、その品質保証が十分でないと指摘されているのです。
品質保証において重要なことは、偶然性の排除であるといえます。「たまたまやったら、たまたま良いものができた。」ではいけません。たとえ結果的に品質が良かったとしても、それでは品質保証にはならないのです。
まず計画をたて、計画に従って緻密な作業を行い、あらかじめ決めたスペックの製品(結果)を作り出すということが、品質保証の根本的な考え方です。
何回実行しても、同じ規格(同じ性能)の品質が得られないといけません。つまり再現性がないといけないのです。QAの実施は、利害関係のない第三者の観点から、当該業務を規制要件、自社のポリシー、手順書等と照らし合わせて適宜レビュすることです。プロセスの終了後に監査を行い、不足事項や間違いを指摘しても、品質は向上しないばかりか、品質保証にはなりません。QA部門は、適宜業務の節目毎に、プロセスの品質にお墨付き(保証)を与えることが大切といえます。
QA担当者で、文章の「てにをは」のみを修正している人がいますが、本末転倒です。QA担当者の要件は、物事を第三者的に観察でき、ロジカルに問題点・課題点の抽出と原因究明および解決策の提示ができなければなりません。
- P13のスライドでタイムスタンプの説明がありましたが、デジタル署名したものに認証局のタイムスタンプを押した場合、デジタル署名が無効になることはないのでしょうか。デジタル署名の説明の際に「少しでもいじったらデジタル署名は無効になる」とおっしゃっていたので。
- 当日はわかりやすく大雑把にお話ししたまでです。タイムスタンプ局には実際の電子署名が付されたデジタル文書自体は送信しません。あるアルゴリズムで計算された結果ファイルを送信し、それに対してタイムスタンプ(時刻証明)を付与してもらいます。
- Really (^u^)
平成20年10月1日の課長通知にも同文で記載があります。
