MENU

法規制、品質システム、データインテグリティーの関連性 パート4|ニュース&コラム|品質マネジメントシステム(QMS)管理ソフトウェアならマスターコントロール

ニュース

MASTERCONTROL NEWS

コラム

法規制、品質システム、データインテグリティーの関連性 パート4

2019-03-04

本記事は、連載企画の第四弾です。過去の配信記事をご覧になりたい方は、下記をクリックしてください。

・ 法規制、品質システム、データインテグリティの関連性 パート1
・ 法規制、品質システム、データインテグリティの関連性 パート2
・ 法規制、品質システム、データインテグリティの関連性 パート

3. セキュリティ​

セキュリティの指針(Annex 11, §12)は、突発的な問題への対応を可能にすべきであり、主には下記の3点から構成されます。

・ 物理的なセキュリティ
物理的にデータを変更できないことを保証するための手段や評価基準を意味します。通常、大規模なシステム等は十分に保護された環境にて運用されている一方、変更等のリスクは、物理的に隔離されたような環境(例:分析や測定を目的とした機器に直接つながれているソリューションなど)やネットワーク機器(例:配線用ボックス)に存在しています。また、一般的に「物理的」というと電源設備や火事・洪水対策等を示していますが、データインテグリティの場合、電子に限らず紙媒体のデータに対するアクセスや保護まで考慮する必要があります。

・ 論理的なセキュリティ
システムへのアクセスの追跡や特定の担当者のみ許可するといった管理を設定し、匿名(または不特定多数)によるシステムやデータへのアクセスを禁止することがこれに該当します。アクセスの許可は、個人の情報や教育などを通じて記録し、これにより、各担当者が今後アクセスする内容の重要性に対して認識させたという記録として運用することができます。また、システムやデータの管理者にも教育が必要で、一般の担当者と同様に教育記録の作成を含める必要があります。PIC/Sのガイダンスでは、この役割の重要性に関する記載があり、システム管理者が特定できることや、一般ユーザーとは異なる役割を有していること(作成データに対する利害関係がない等)も記載されています。この点におけるベストプラクティスは、管理者は管理権限を有する特別なアカウントにてシステム管理を実施すべきであり、他のシステム管理以外の作業を行うアカウントと混同しないように注意も必要となります。また、管理者としてのログインはトレースが取れる状態で、使用している担当者の判別もできるようにする必要があります。論理的なセキュリティ対策の情報や一般ユーザーの権限に関する情報は、査察や監査時に迅速に提示できるように運用すべきです。

・ 継続性
CAPAに繋がった全ての事象や損害に対する措置がこれに該当し、データの損失等がなかった場合も含まれます。また、これらのイベントはバックアップの前提としても考慮すべきで、リストア作業ではデータが不可逆的に変更されますので、同様に検討に含める必要があり、災害や緊急時対応が発生した場合でも従業員が業務を遂行するための事業継続計画(BCP)とも連携するものです。この分野は非常に広義的で、様々な要素を考慮する必要がありますが、データのセキュリティとしては最後の手段とも言える対策が含まれています。

4. 行動​

組織内における全ての階層に対するガバナンス、特にデータインテグリティのマネジメントに関連する「行動」は、PIC/SやMHRAのガイダンスで触れられているように、重要性は明らかです。しかし「行動」には課題があり、PIC/Sガイドラインでは、データの改ざん等を助長するような誘惑や圧力への注意を指導するよう1つのセクションを使って記載しています。

・ 責任者が直接的に支援するプログラムとして、データインテグリティを導入する
・ データインテグリティに積極的に関与できるよう従業員を組織化する
・ 電子署名やデータ操作に対するトレーサビリティー、監査証跡のレビューといった主要な概念やデータ自身の重要性や脆弱性に関する適切な社内教育を実施する
・ レビューや管理、修正するための措置に関する手順の策定

データインテグリティへの積極的な取り組みは、不適切なデータの改ざん等を発生させない健全な企業文化の結果であり、査察官や監査担当者は、この点を明確に予想する必要があります。

最後に

過去20年間、コンピューターシステムに対するバリデーションには様々な議論が行われてきました。「Information System」という用語の並びが示している通り、これまでは情報(Information)よりもシステム(System)に比重を置いた考え方が使われてきたと思います。データインテグリティは、このバランス関係を一度対等に戻し、その重要性だけでなく、潜在的な脅威や脆弱性も含めて、検討する必要があります。
また、ライフサイエンス業界でも大手と位置付けられる企業でも重要データに対する問題が発生したことは、データインテグリティの重要度が急激に上がってきている要因の一つといえます。データ自体が直接的な発生要因にはならないケースもありますが、分野として今後は注視する必要があります。したがって、データインテグリティを運用する上で重要なことは、次の3点と言えるでしょう。

・ 行動とガバナンス
品質文化(Culture of Quality)を示す内容、組織全体に関わる問題
・ フローチャート及びリスクアセスメントを用いて自社のデータの範囲を把握
従来のデータの定義を拡大や、複数データ間の関連性やメタデータ、監査証跡等の把握など
・ コンプライアンス
セキュリティに関連する全ての内容及びバリデーション

著者のご紹介
Philippe Charbon

マスターコントロールの公式パートナーであるApsalys社のCEOであるCharbon氏は、20年以上、ライフサイエンス業界におけるIT分野の専門家として携わってきました。業界でもトップクラスのコンサルタントとして、業務環境や規制対応とITを組み合わせた様々な解決策を提案し、現在は主にデータインテグリティー分野にて活躍しています。

本投稿は、英語の文献を元に翻訳または抄訳及び校正を行っており、本サイトに掲載されている全ての情報や画像の著作権は、当社(マスターコントロール株式会社)に帰属します(他社提供のクレジット表記入り画像等を除く)。コンテンツの再発行及び再配布は、個人利用の場合を除き、当社より許可を得た場合のみ可能です。また、本ブログを含む当社のWebコンテンツを利用することで発生する損害やトラブルについて、当社は一切の責任を負いません。

一覧へもどる

 Ⓒ Copyright 2000-2017 MasterControl K.K.
ALL RIGHTS RESERVED.

ページのトップへ