医薬業界におけるバリデーションは、コンピュータシステムのみを対象とするのではなく、コンピュータ化されたシステムを対象とする必要がある。これをComputerized System Validation(CSV)と呼ぶ。
コンピュータ化されたシステム(Computerized System)とは、「コンピュータシステム」と「業務プロセス」を統合したものである。
「コンピュータシステム」は、ハードウェアとソフトウェアから構成され「業務プロセス」は、人、標準業務手順書(SOP)と、設備(例えば測定機器、CRF、筆記具など)から構成される。
FDAは単にコンピュータシステムにバグや不具合のないことを要求しているのではないのである。紙ベースのオペレーションがコンピュータ化された際に、規制要件の適用を受けるデータの品質および品質保証が、劣化しないという保証を求めているのである。FDAにとってみると、製薬企業がコンピュータシステムを使用しようがしまいがあまり問題ではない。それよりも業務をコンピュータ化することによって、何らかの問題が発生しないかという懸念を払拭することが重要であるのである。
ソフトウェア自体のバリデーションは外部企業やベンダーによって実施されるものが多いが、そのソフトウェアの業務への適合性についての最終的な責任は製薬企業にある。またそのバリデーションの適合性を評価できる記録は、製薬企業で保管する義務がある。FDAは、システムの開発期間中と、リタイアまでの稼動期間中の両方についてそのライフサイクルを管理することを求めている。
2013年9月にバリデーション基準が全面改正された。
そもそもバリデーションとは何であろうか。
多くの人は、コンピュータのバリデーションとは、「テストを行うこと」つまり「バグをつぶすこと」であると思っているのではないだろうか。
そうではない。
実は、製薬業界とIT業界では、「バリデーション」の定義が異なる。
一般にIT業界では、バリデーションとは、「ソフトウェアのテスト」のことを指す。
それに対して、製薬業界では、「当該コンピュータ化システムが、ユーザ要件を満たしていることを検証し保証」することをいう。
日本語では、「妥当性の確認」という。
ISO 9000においても、「バリデーションとは、特定の意図した用途またはアプリケーションに関する要求が満たされていることを、客観的な証拠の提示により確認することである。」と定義している。
コンピュータバリデーションの査察において、査察官の関心は、当該コンピュータシステムが「何を意図したものか」である。
その「意図した要求」と当該システムが一致しているかを調査する。
テストを繰り返して、障害(バグ)を取り除いたとしても、当該システムがユーザ要求に合致していない場合は、バリデートされたことにはならない。
査察官は、ユーザのテスト(PQとして知られている)を調査し、ユーザ要求仕様書(URS)を満たしているかどうかを判断する。