MENU

研究所におけるデータセキュリティーと品質管理の3つのポイント|ニュース&コラム|品質マネジメントシステム(QMS)管理ソフトウェアならマスターコントロール

ニュース

MASTERCONTROL NEWS

コラム

研究所におけるデータセキュリティーと品質管理の3つのポイント

2021-08-26

製薬業界におけるデータインテグリティーは、医薬品の安全性や有効性、そして、品質を確保する上で重要です。データインテグリティーは長い間、業界におけるトレンドとして続いていますが、新型コロナウイルス向けワクチンの開発及び製造にかかる時間が短縮され、業界全体もそのスピード感を認識したことで、さらにその重要性が高まっています。

製造プロセスに対する効率性の向上は、そのプロセスを支えている技術の進歩に依存しています。これまで、一部の業務に限定して電子化を検討していた企業では、MES(製造実行システム)やQMS(品質マネジメントシステム)、LIMS(ラボラトリー情報管理システム)、EBR(電子製造記録)などの領域における完全な電子化に取り組んでいます。2020年、ISPE(国際製薬技術協会)は、「Good Practice Guide: Data Integrity by Design」を発表し、様々なプロセスの中心にデータインテグリティーを取り入れることで、品質と効率性の両方が実現可能な点が強調されました。これは、どのような電子化でも導入計画や要件定義の段階において課題になる点であるため、強調されていると考えられます。

研究所や製造施設では様々な機器が使用されていますが、全てのアプリケーションに対応できるデータ管理やセキュリティーのソリューションは残念ながら存在しません。しかし、どのソリューションを採用するにしても、データインテグリティーの重要な要素は優先すべき事項として考える必要があります。

また、様々な当局や業界団体等がデータ管理やセキュリティーに関するガイダンスを発行しており、下記は、データインテグリティーに関して発行された文献の一覧です。

  • World Health Organization (WHO) TRS 996 Annex 5 - Guidance on good data and record management practices, 2016.
  • ISPE GAMP Records and Data Integrity, 2017 
  • Medicines and Healthcare Products Regulatory Agency (MHRA) ‘GXP’ Data Integrity Guidance and Definitions, March 2018.
  • U.S. Food and Drug Administration (FDA) Guidance - Data Integrity and Compliance with Drug cGMP, 2018.
  • ISPE GAMP RDI Good Practice Guide: Data Integrity by Design, November 2020
  • Pharmaceutical Inspection Co-operation Scheme (PIC/S) Guidance – Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments, July 2021.


規制やガイドラインは存在している一方、データインテグリティーを確保するための手法は、人とプロセス、そして、テクノロジーに依存しており、これらの重要な要素は、教育とバリデーションを通じて調整する必要があります。また、Quality Cultureを形成する人々の姿勢・行動の管理についても、職場のモチベーションの向上を目的とした他のプログラムと同様に導入する必要もあります。本項では、データの完全性を確保するためのデータ管理やテクノロジーについて、ご紹介いたします。


1. データインテグリティーの定義

PIC/Sが発行した最近のガイダンス(PIC/S Good Practices for Data Management Guidance)では、2018年にMHRAが発表した内容から、その定義が拡張され、データインテグリティーとは、「データが完全で一貫性があり、信用でき、信頼性があり、このような属性がデータのライフサイクルを通じて維持される度合いである」と定義されています。

その為、データは安全な方法で収集・維持されるべきであり、帰属性や判読性、同時性、原本性、正確性が求められています(ALCOA)。また、データの完全性を確保する為、健全な科学的原則と適切な文書管理を含む品質及びリスク管理システムも必要です。

さらに、ALCOA +の原則の重要性の強化を目的として、データ管理が次のように拡張されました。

データ管理とは、ポリシーや文書管理、品質、セキュリティーなど、データを取り扱う際に実施される全ての活動を示しています。そして、適切なデータ管理は、企業が作成または記録を行なっている全てのデータの品質に(プラスの)影響を与えることができます。これらの実戦を通じて、データの既読性や可読性、同時性、原本性、正確性、完全性、一貫性、永続性、可用性を確保する必要があります。また、本書はGMP/GDPに関する内容を中心としていますが、この原則は、原薬及び医薬品の管理戦略及び規格が記載される申請書類向けのデータなど、適切な文書管理として、より広い対象を考慮すべきです。


2. データ管理の方針

MHRAはガイダンスにて、データに対するガバナンスは医薬品の品質システムと一体であるべきと述べています。また、データ管理の手法については、データの整合性が失われた際に患者様の安全性や製品の品質に対するリスクを最優先に対応する必要もあります。その為、データを効果的に管理する為には、データ管理やセキュリティーに関する方針や手順、教育カリキュラム、検証ガイドラインを策定し、実行していく必要があります。

  • まず、データ管理の方針とは、ユーザーアカウントやパスワード、記録の上書きや修正、削除に対する保護、ユーザーレベルでのセキュリティーグループ、タイムアウト、パスワードの有効期限、ユーザーに対するロックアウトの仕組み、電子署名(該当する場合)、監査証跡など、データインテグリティーに関わる基本的な機能を搭載したソフトウェアの利用を検討する際、企業に対する指針となる必要があります。また、このような機能の管理は、データ管理の方針に限らず、標準業務手順書にも含まれるべき内容です。その為、このようなセキュリティー機能を持たないシステムでは、法規制要件等に準拠した状態を維持する為、方針や手順が必要不可欠であり、ユーザーと管理者の職務分離を徹底することも押さえるべきポイントです。
  • 記録の保管に関する方針についても、紙や電子を問わず、そのデータの有効期間中における保管方法を定義する内容として必要です。各ソフトウェアの手順では、データは元のシステムで保管するのか、適切な保管場所を使用するのか等を決定し、記録が故意または不注意による変更や損失から保護されるように規定すべきです。また、電子データのバックアップを行うシステムについても、基本情報から監査証跡まで、関係する全てのデータのコピーを作成し、確認できる状態を維持する必要があります。FDAによれば、紙運用の場合のデータ保管を目的としたシステムでも、電子的なデータ管理を行うシステムでも、同じ要件に準拠する必要がある点を念頭に置くことが重要であると述べています。
  • データ管理システムによるデータの収集や報告に関する手順の策定も必要です。自動化されたレポートを通じて、データの整合性を確保することで、データの確認に必要となる工数を削減することもできます。その為、データの収集や報告に関わるシステムは、必要な時にデータの再構築が可能なように構成・運用する必要があります。
  • データの整合性に関する欠落の発見や防止、基本情報及びデータの正確性や完全性、信頼性に対する検証の為、定期的に内容をレビューする手順が必要であり、この定期レビューには、文書化された監査証跡に対するレビューも含める必要があり、また、その頻度はデータの重要性やリスク評価に基づいて決定する必要があります。
  • データインテグリティーの原則及び課題の特定に関して、従業員に対する教育を規定した方針を策定する必要があります。そして、品質システムを通じて発見されるエラーや異常の報告が率先して奨励されるような報告体制を企業は構築すべきです。
  • 計測機器等から生成されるデータは、自社及び業界のガイドラインに準拠し、セキュアーな状態を維持すべきであり、その実現に向けたバリデーション手順やガイドラインを策定する必要があります。また、同一のシステムがGMP及びGMP以外に使用されている場合、関連するリスクを軽減できる点も手順に考慮されるべきです。
  • 企業の方針は、ライフサイクル全体のデータ管理を対象とすべきであり、データインテグリティーの原則を遵守する為、データのプロセスを定義したフローチャートを作成し、その流れをトラッキングできるようにする必要があります。



3. データに対するセキュリティー対策の導入

リムーバブルデバイス(取り外し可能な記憶装置)のように許可されていない場所にデータが保存されてしまうことを防止する為、データの保存場所についても適切な対策を講じる必要があります。データを保護する方法の一つとして、ローカルのセキュリティーグループやアクティブディレクトリーの導入があり、特定のセキュリティーグループに属しているユーザーのみがフォルダーにアクセスできるといった設定が可能です。これにより、システム管理者は、原本となるcGMPやGLPの生データが保存されているフォルダーに対する変更権限を排除することに繋がり、データに対する整合性を効果的に維持することができます。また、一部のソフトウェアでは、OS(オペレーティングシステム)側での削除や変更といった権限を削除した場合、そのソフトウェアがデータを保存することができないケースがありますが、その場合でも、サードパーティーのソフトウェアやWindowsのスクリプトを使用することで、NTFS(New Technology File System)の権限を変更することなく、フォルダーへの権限を制限することが可能です。

また、記録に対する操作の検知や防止を行う上で、監査証跡も重要です。その為、安定したデータインテグリティーの実践には、GMP及びGLPの業務に関係する全ての基本情報及びデータの管理及び監査証跡を適切に維持する必要があります。その為、GMP及びGLPで使用するソフトウェアは、21 CFR Part 11やAnnex 11に準拠していることが推奨されます。

下記の例では、データの保存や維持を目的としたバックアップやアーカイブの取り扱いについて、よくある状況と特殊なケースについて、ご紹介しています。


スタンドアロン システム

スタンドアロン システムとは、ネットワークには接続していないワークステーションやファームウェアが内蔵された機器のことであり、この利点は、ネットワーク経由でのハッキングや侵入から根本的に保護されているという点です。このようなシステムの場合、機器のファームウェアやワークステーションのローカル環境にあるハードディスクにデータは保存されています。

ローカル環境にあるハードディスクのバックアップには、ディスク内の全てをバックアップイメージを作成可能な製品が数多く販売されています。その為、USBブリッジケーブルやクロスオーバーネットワークケーブルを使用し、ネットワークに接続されていないPCからネットワークに接続されているPCにデータを転送することが可能です。


ネットワークサーバー

ネットワークサーバーは、ネットワークに接続された各ワークステーションのデータの統合管理が可能なシステムとして使用することができます。そして、各ワークステーションに保存されたアプリからサーバー環境の安全なディレクトリーに直接、保存されます。また、ネットワークサーバーは、企業の方針に基づいた適切なアクセス管理で保護されていることも重要です。また、ネットワークサーバーに対するセカンダリーバックアップも実施すべきであり、その頻度の評価にはリスクアセスメントの実施も重要です。

また、クラウド上のストレージソリューションを使用する場合、適切に管理されていることを確認する為、SLA(サービスレベル アグリーメント)及びクラウドサービスの内部統制に関する国際規格であるSOC(Service Organization Control)の検証を行う必要があります。また、CIS(Center for Internet Security)の推奨事項やベンチマーク、管理、規格に対するツールを調査することで、データに対するセキュリティー対策を強化することが可能です。


データベースサーバー

データベースサーバーとは、ネットワークを通じて、データへのアクセスや種類の定義、検索などが可能なデータベース管理システム(DBMS)であり、データベースの管理言語を介して、専用または共有されるデータの保存やプライバシー、セキュリティーに関わる機能を搭載しています。そして、DBMSを使用するアプリケーションは、複数または特定のデータベースサーバーにデータを保存することが可能です。データベースサーバーは、膨大なデータを保存する際に最適であり、迅速かつ効率的にデータを共有することができます。また、データベースサーバーの管理はセキュリティーを考慮すると必要不可欠な要素であり、権限を持つ管理者のみがデータベースサーバーを管理する必要があります。また、プライマリ・データベースのバックアップを取ることも重要であり、インスタンスの複製またはコピーを行います。これにより、プライマリ・データベースがクラッシュや破損、紛失してしまった場合の対策を用意しておくことができます。そして、バックアップされたインスタンスは、自社の手順やガイドラインに従って、データベースサーバー上で復元を行うことができます。


ネットワーク上のPCやローカル環境のデータベースのバックアップ

ローカル環境にあるハードディスクやデータベースにしかデータを保存できないアプリケーションでも、データを移行することが可能なソリューションは存在しています。VBScript(Visual Basic Script)を使用している場合、Windows Task Schedulerを使用し、スクリプトを自動的に実行することで、ローカル環境にあるデータをネットワーク上にあるサーバーに移行し、データをバックアップすることができます。そして、全てのGMP及びGLPに関わるデータに対して、セカンダリーとなるソリューションを導入することが推奨されています。

 

著者のご紹介
Samir Patel

ライフサイエンス業界で20年以上の経験を持ち、最近ではCSA導入プロジェクト、ラボシステム運用のためのITベースのデータインテグリティプログラム、多数のラボシステムやエンタープライズアプリケーションの導入と検証など、さまざまなコンサルティングプロジェクトを主導してきました。また、シーケンス社の設立メンバーの一人として、4人の検証チームから、200人以上のコンサルタントを擁するマルチサービス企業へと成長させました。現在は、デジタルシステムやパートナーシップサービスの開発プロジェクトの責任者を務めています。


本投稿は、英語の文献を元に翻訳または抄訳及び校正を行っており、本サイトに掲載されている全ての情報や画像の著作権は、当社(マスターコントロール株式会社)に帰属します(他社提供のクレジット表記入り画像等を除く)。コンテンツの再発行及び再配布は、個人利用の場合を除き、当社より許可を得た場合のみ可能です。また、本ブログを含む当社のWebコンテンツを利用することで発生する損害やトラブルについて、当社は一切の責任を負いません。

一覧へもどる

 Ⓒ Copyright 2000-2017 MasterControl K.K.
ALL RIGHTS RESERVED.

ページのトップへ