なぜ電子記録は適正にバリデートすれば紙より信頼性が高いのか
「重要な記録はやはり紙で残すべきだ」ーー製薬・医療機器業界をはじめ、規制対象産業の現場では、いまだにこのような声を耳にすることがある。
長年にわたり紙の文書に親しんできた人ほど、電子記録に対して漠然とした不安を抱きがちである。
改ざんされやすいのではないか、消えてしまうのではないか、そもそも「本物」であることをどう証明するのかーーこうした懸念は、決して理由のないものではない。
しかし結論から述べれば、適切にバリデートされ、運用管理された電子記録システムは、紙記録に比べて、データインテグリティ、すなわち真正性、完全性、追跡可能性、可用性等をより一貫して支援しやすい。
本稿では、その根拠を「タイムスタンプ」「電子署名」「監査証跡」という三つの要素を軸に解説する。
なお、ここで言う「信頼性の高さ」は電子化そのものから自動的に得られるものではなく、リスクベースのバリデーション、アクセス管理、監査証跡、電子署名管理、バックアップ・リストア、変更管理、定期レビュー等の統制が適切に設計・運用されていることを前提とする点を、あらかじめ強調しておきたい。
紙の記録が抱える本質的な限界
まず、紙の記録について冷静に考えてみたい。
紙の文書は「物理的に存在する」という安心感を与えてくれるが、その信頼性は実のところ脆弱である。
第一に、日付の真正性を確認する手段が乏しい。
文書に「2026年5月25日」と書かれていても、それが本当にその日に記載されたものか、後日遡って書かれたものかを判別することは極めて困難である。インクの経年変化を科学的に分析すれば判定できる場合もあるが、現実の業務において毎回そのような検証を行うことは不可能である。
第二に、署名の真正性確認にも限界がある。
手書き署名は筆跡鑑定によって本人性をある程度推定することは可能だが、署名の偽造は古来より行われてきた人類の課題である。また、署名がいつ行われたかについても、紙そのものは何も語らない。
第三に、変更履歴の追跡が難しい。
修正液で消したり、上から書き足したり、ページごと差し替えたりした場合、その痕跡を完全に検出することは難しい。誰が、いつ、何を、なぜ変更したのかを後から再構成することは、実務上ほぼ不可能である。
紙の記録自体が悪いという話ではない。紙でも適切な文書管理により規制適合は十分に可能である。ただし紙は、その真正性・完全性・追跡可能性を担保する仕組みを書類そのものに内在していないため、運用面の規律に大きく依存するという特性を持っている。
電子記録の信頼性を支える三つの要素
これに対し、適切にバリデートされた電子記録システムは、紙の記録が依存していた人手の規律を、システム統制によって補完・強化することができる。
1. タイムスタンプーー時刻基準の明確化
タイムスタンプとは、電子データに時刻情報を付与する仕組みである。
GxP環境においては、システム時刻、タイムゾーン、時刻同期方法、夏時間の扱いといった時刻基準を明確にし、システム文書で説明できることが重要である。FDA Part 11ガイダンス(Scope and Application)でも、タイムスタンプについてはタイムゾーン等の基準を明確にし、システム文書で説明できることが重要とされている。
時刻認証局(TSA)による第三者タイムスタンプや、ハッシュ値・電子署名等と組み合わせたタイムスタンプを用いる場合は、「当該時刻にそのデータが存在していたこと」や「その後に内容が変更されていないこと」を第三者が検証しやすくなる。
ただし、GxP電子記録において第三者TSAが常に必須となるわけではなく、また単なるシステム時刻の記録だけで非改ざん性が保証されるわけでもない点に注意が必要である。タイムスタンプは「作成時刻そのもの」を絶対的に証明するものではないことも併せて理解しておきたい。
GxP電子記録では、時刻同期、タイムゾーン管理、アクセス管理、監査証跡、変更管理などを組み合わせた統制が重要であり、これらが適切に整備されていれば、複数の記録間の前後関係を一貫して追跡できる。
これは、紙の日付欄では到達しにくいレベルの一貫性である。
2. 電子署名ーー本人性と非否認性の確保
電子署名は、紙の手書き署名に相当する役割を電子環境で果たす仕組みである。
ここで注意すべきは、「電子署名」と「デジタル署名」は同義ではないということである。
FDA 21 CFR Part 11やEU GMP Annex 11における「電子署名(electronic signature)」は、ID・パスワード等による本人確認に基づく方式を含む、より広い概念である。
一方、公開鍵暗号方式を用いて署名後の改ざんを暗号学的に検出できる方式は「デジタル署名」と呼ばれ、電子署名の一実装形態にあたる。
デジタル署名方式では、署名後に文書が変更された場合、検証段階でその事実を検出できる。
一方、ID・パスワード方式の電子署名であっても、署名と記録の不可分なリンク、アクセス管理、監査証跡、認証強化(多要素認証等)を組み合わせることで、なりすましや改ざんのリスクを抑止・検出できる。
Annex 11では、電子署名には署名日時を含め、該当記録に恒久的にリンクされることが期待されている。
つまり電子署名の信頼性は、暗号技術そのものだけでなく、本人確認、アクセス管理、監査証跡、運用規程といった統制全体の組み合わせによって担保されるのである。
3. 監査証跡(オーディットトレイル)ーー変更・削除の追跡可能性
監査証跡は、規制対象記録に対する作成・変更・削除等の操作を、操作者、日時、内容、理由とともに記録し、レビュー可能にする仕組みである。
本稿執筆時点のEU GMP Annex 11は、リスク評価に基づき、GMPに関連する変更・削除を記録する監査証跡を組み込むこと、変更や削除の理由を記録すること、そして監査証跡を利用可能・可読な状態で保持し定期的にレビューすることを求めている。FDA Part 11ガイダンスでは、通常運用において規制対象記録の作成・変更・削除が行われる場合、監査証跡機能が特に適切になり得るとしている。
ここで重要なのは、「閲覧を含むあらゆる操作を改ざん不可能に記録する」といった理想像を一律に求めているわけではないという点である。あくまでリスクベースで、GMP上重要な操作を対象に、適切な範囲・粒度で監査証跡を設計・実装・レビューすることが規制の枠組みの基本である。
その上で、規制対象記録を扱うシステムにおいて適切に設計・運用された監査証跡は、「いつ、誰が、何を、なぜ変更したのか」という問いに対して、紙の修正履歴では到達しにくい客観性とレビュー容易性をもたらす。
「適正にバリデートされていれば」という前提条件
本稿のタイトルにある「適正にバリデートされていれば」という条件は、決して付け足しではない。電子記録システムは導入しただけで自動的に信頼性が担保されるわけではない。
コンピュータ化システムバリデーション(CSV)の文脈では、リスクベースアプローチ、ライフサイクル管理、URS(ユーザー要求仕様)からのトレーサビリティ、変更管理、定期評価(periodic review)、バックアップ・リストア、アクセス管理といった統制が、システムの信頼性を支える土台となる。EU GMP Annex 11は、URSがGMPへの影響とリスク評価に基づき、ライフサイクル全体でトレース可能であるべきとしている。
統制が適切に設計・実装・運用されていない電子記録システムは、紙の記録と比べてリスクが高くなる場合もある。
なぜなら、システムの欠陥や不適切な権限設定が大量のデータに同時に影響を及ぼし得るからである。逆に、適切に統制された電子システムでは、人為的ミスや意図的な改ざんを完全に防止するわけではないが、抑止し、検出し、影響を限定することができる。これは紙の運用では達成しにくい統制レベルである。
ALCOA+原則との関係
データインテグリティの世界では、データが満たすべき特性としてALCOA+原則が広く知られている。
MHRA関連の解説資料によれば、ALCOAはAttributable(帰属性), Legible(判読性), Contemporaneous(同時性), Original(原本性), Accurate(正確性)を指し、「+」はComplete(完全性), Consistent(一貫性), Enduring(永続性), Available(可用性)を強調するものとされている。
ここで注意すべきは、ALCOA+は電子記録だけに適用される原則ではなく、紙記録にも等しく適用されるデータ品質原則であるという点である。
したがって、「電子記録だからALCOA+を満たす」と単純に言うことはできない。
ただし、適切に設計・バリデート・運用された電子記録システムは、ALCOA+の各特性を人手の規律ではなくシステム統制として支援しやすいという特性を持つ。
例えば「Attributable」はログインユーザーの自動関連付けによって、「Contemporaneous」は適切なシステム時刻管理によって、「Original」は変更履歴を残しつつ原本データを保持する仕組みによって、それぞれシステム機能として担保しやすくなる。
紙の記録でこれらすべてを満たすには、運用規律と手作業に依存する部分が大きい。一方、電子記録では設計段階でこれらを組み込めるため、より一貫した遵守を実現しやすい。
なお、電子記録においては、表示されている数値や文字情報だけでなく、監査証跡、ユーザー識別情報、タイムスタンプ等のメタデータを含めた完全な記録として管理することが求められる点に留意する必要がある。
日本のER/ES指針への適合
日本においては、厚生労働省の「医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について」(いわゆるER/ES指針)が、医薬品等の承認申請等のために作成される資料および原資料に電磁的記録・電子署名を用いる場合の要件を示している。
ここでは真正性・見読性・保存性が重要な枠組みとして扱われている。
日本国内で承認申請等に関わる電磁的記録・電子署名を扱う場合は、ER/ES指針を踏まえた統制設計が重要であり、対象市場や業務に応じてFDA Part 11やEU GMP Annex 11の要求も考慮する必要がある。
三つの規制枠組みは、表現や強調点に違いはあるものの、「電子記録の信頼性は、単なる電子化ではなく、バリデーションと適切な統制によって担保される」という基本思想において共通している。
おわりに
「紙のほうが安心」という感覚は、長年の慣習に基づく心理的なものであり、必ずしも技術的・規制的な根拠に支えられているわけではない。一方、電子化そのものが自動的に信頼性をもたらすわけでもない。
正確に言えば、適切にバリデートされ、リスクベースで統制された電子記録システムは、紙記録に比べて、データインテグリティ、すなわち真正性、完全性、追跡可能性、可用性等を一貫して支援しやすいということである。操作者、日時、変更内容、変更理由、署名情報などをメタデータとして自動的に保持・レビューできるため、データインテグリティの確保において有利な場合が多い。
重要なのは、電子記録の技術的特性を正しく理解した上で、CSV・アクセス管理・監査証跡・電子署名管理・バックアップ・変更管理・定期レビューといった統制を、リスクに応じて適切に設計・実施することである。バリデーションは規制対応のための形式的な作業ではなく、データそのものの信頼性を説明可能にするための重要な活動なのである。
電子化を単なる業務効率化として捉えるのではなく、データ品質を高めるための戦略的な投資として位置付けることーーそれが、これからの規制対象産業に求められる視点であろう。