クラウドシステムにおいてPart11対応は必須か

昨今のコロナ禍において多くの業務ではテレワークが余儀なくされている。
テレワークで必須となるものは、クラウドシステムであろう。
特にデータの保管や受け渡しに使用するストレージサービスは重要である。
例えば、BOX 、Dropbox、Google Driveなどである。

在宅などで業務を実施する場合、気を付けなければならないことは、業務上作成したデータや受け取ったデータを個人のパソコン上に置いてはならないということである。
何故ならば、データの紛失、漏洩、意図しない変更などを行ってしまうためである。
したがって、データの取り扱いは原則としてストレージサービス上で実施することが望まれる。

しかしながら、多くの場合、それらのストレージサービスは、Part11対応していない。
セキュリティ機能は充実しているが、監査証跡機能がないためだ。
したがって、慎重派の人達は、Part11対応できないストレージサービスには、一切GxPデータを置いてはならないと主張する。
果たしてこの考え方は正しいのだろうか。

そもそもデータの電子化やそれに伴う規制であるPart11やER/ES指針というものは、医薬品等の有効性・安全性・品質を担保するための手段である。
決して目的ではない。すなわち手段を優先して目的を誤ってはならない。

FDAは2003年9月に「Guidance for Industry Part11, Electronic Records; Electronic Signatures – Scope and Application」(以下、Scope and Application)と呼ばれるガイダンスを発表した。
この中でPart11の行き過ぎた規制において、下記のような問題が発生したことを挙げ、真摯に反省している。
1.当初の意図にそぐわない方法による不要な制限
2.コンプライアンスコストの著しい増加
3.公衆の健康に利益を与えず、技術革新を阻害

2000年当時、米国製薬工業協会(PhRMA)の調査によると、Part11対応費用は21億ドル(当時のレートで2,400億円)という試算結果であった。
これらのコストは薬価に転嫁され、患者負担となってしまうのである。
また公衆の健康に利益を与えず、技術革新を阻害してしまったのである。
Scope and Application の発出を機に、FDAはPart11の規則の再検討に乗り出した。
こういった、過度な“規制遵守”は、決して患者のためにはならない。

コロナ禍の中、テレワークが中心となり、クラウドサービスの使用が必須である。
その際に、Part11遵守を最優先し、技術革新を阻害するといった過去の轍を踏んではならない。

では、監査証跡機能のないストレージサービスは、どのように使用すれば良いのであろうか。
そもそも監査証跡が必要なデータは、主に生データである。
生データは、できる限りPart11対応しているシステムで管理する必要がある。
例えば、EDCシステム、LIMS、HPLCなどのインテグレータ等である。

これらのPart11対応システム上で法定年限までデータを保管することが望ましい。
しかしながら、当該システム上で保持し続けることにはいささかの困難が伴う。
したがって、生データをストレージサービスに移動させることとなるが、その際に重要なことは、
・変更不可とする
・オリジナルのシステムで採取した監査証跡を含めてストレージに置く
ということである。
そもそも変更不可としておけば、監査証跡は必要なくなるからだ。

一方において、加工データ(2次データ、3次データ…)に関しては監査証跡はそれほど重要ではない。(もちろん監査証跡機能はあった方が良いことは言うまでもないが。)
何故ならば、加工データに関しては、プロセスの再現性が重要であるためだ。
すなわち、生データから同じ加工データを再現できなければならない。
再度加工した際に、以前とは異なるグラフ、テーブル、リストが出力されてはならないのである。

また、報告書等の文書(記録を含む)においては監査証跡機能は役に立たない。
そもそも文書(記録)を悪意をもって作成したならば、セキュリティや監査証跡機能があったとしても不正等は防げないのである。
したがって、文書の場合は、版数管理が重要である。文書の改訂時に以前の文書を削除してはならないのである。
このように加工データや文書(記録)の管理においては、再現性を担保し、セキュリティで変更不可とし、版数管理を行うことが必要となるのである。
つまりデータの一貫性が重要である。これらはデータインテグリティの要件である。

繰り返しとなるが、不要な制限を加えて、技術革新を阻害し、その結果業務を滞らせたり止めてはならないのである。

もちろん、SOPで上記の方法でクラウドシステムを利用する業務について根拠を与え、SOPに従った運用を実施することは言うまでもない。

ご意見ご質問等は当社の「イーコンプライアンス公式LINE」から願いたい。(ID検索の場合:@ecompliance)

関連記事一覧