真正な記録とは、次のことを立証できるものである。
- 記録が主張しているとおりのものであること(本物)
- それを作成又は送付したと主張するものが、作成又は送付していること
- 主張された時間に作成し、送付していること
記録が真正であることを確実にするために、組織は、記録作成者に権限を与え、それが誰かを明確にすること。
許可の無い記録の追加、削除、変更、利用及び隠蔽から確実に記録が守られるように、記録の作成、取得、送信、維持及び処分を管理する方針及び手順を実施し、文書化すること。
ER/ES指針において、真正性が要件になっている理由は、電磁的記録および電子署名には下記のようなリスクがあり、それらリスクを回避しなければならないからである。
- 電磁的記録の作成者がわからなくなるリスク
- 電磁的記録の承認者がわからなくなるリスク
- 許可されていない者が電磁的記録の入力・変更を行うリスク
- 電磁的記録を上書きされてしまうリスク
- 電磁的記録を削除されてしまうリスク
- 電磁的記録および電子署名を改ざんされるリスク
- 電磁的記録および電子署名を誤って変更・削除してしまうリスク
- 不適切な者へ権限を与えるリスク
パブリックコメントの回答(No.58)によると、真正性はAuthenticityの訳とある。
しかしここでは「電磁的記録が完全、正確であり、かつ信頼できるとともに、作成、変更、削除の責任の所在が明確であること。」 と記載されている。この文章を読む限り、真正性は、米国版Part11のIntegrityとAuthenticityを兼ね備えたものであるといえる。 なぜならばIntegrityとは「完全、正確であり、かつ信頼できる」ということであり、Authenticityとは「責任の所在が明確であること」だからである。
1999年5月に公表された「Compliance Policy Guide 7153.17」によると、FDAでは、 Integrityを重要視してPart11査察を行うとある。 Part11施行後のWarning LetterもやはりこのIntegrityに関するものが過半数を占めている。
完全とは、その内容が完結していて変更されていないことを意味する。 記録は許可の無い変更から守られなければならない。また生データのみではなく、タイム・スタンプや変更履歴等のメタデータが正確にリンクされている状態を指す。 (FDAでは、このことに関して、データの品質要件として、 Attributableという用語を使用している。)
信頼できるとは、システムがセキュリティなどにより、改ざんから守られており、さらに変更などの記録がとられている状態を指す。
