CSAとクリティカルシンキング

CSA(Computer System Assurance)は、CSVに置き換わるFDAの非製品ソフトウェアの品質保証に関する概念である。(注)
しかしながら、CSAはけっして新しい概念ではない。
FDAが2002年にリスクベースドアプローチを提唱して以降、規制当局は品質保証に関わる労力(コスト)は、リスクに相応したものでなければならないことは繰り返し述べてきており、また多くの規制要件がリスクベースドアプローチを採ることになった。
CSVにおいても同様で、2008年に発行されたGAMP 5においてもリスクベースドアプローチを採用している。
FDAのFrancisco Vicentyは、USDM Life Sciencesで行ったWebinerにおける質疑応答で「CSAはGAMPにとって何を意味するか?GAMPは廃止されるか?」と問われ下記のように回答している。

「近く発出されるCSAガイダンスは、それ自体が新しい概念を生み出すことはない。非製品ソフトウェアの使用を簡素化および明確化し、テスト作業を最大化すると同時に、リスクの低い非製品ソフトウェアシステムの文書化を最小化することを目的としている。GAMP 5との不整合はない。
CSAはFDAがずっと意図していたものだが、明確性に欠けていた。また、誤解により、品質が向上するのではなく、文書化のための文書化が多すぎた。」
つまり、GAMP 5はすでにCSAの概念を盛り込んでおり、あえて改定の必要はないということを表明した訳である。

クリティカルシンキング
あえてCSAにおいて新しい概念といえば、クリティカルシンキングであろう。
クリティカルシンキングは日本語では「批判的思考」と訳されるが、けっして何でもかんでも否定することを意味しない。
これまでの既成概念(思い込み)や前提条件を疑ってかかるということである。
おそらくCSVに関しては、下記のような思い込みがあると思われる。

  • CSVを実施しなければ規制当局に指摘される。
  • CSVでは出来る限り多くの文書を作成しなければならない。
  • あらゆるGxP記録を保存するシステムはCSVを実施しなければならない。
  • CAD、コンパイラなどもCSVを実施しなければならない。
  • CSVを実施し、規制当局の査察に合格すればそれで良い。
  • CSVでは網羅的に全機能のテストを実施しなければならない。
  • テストの記録(エビデンス)は詳細に残しておかなければならない。
  • 監査証跡機能のないシステムでは、GxPデータを扱ってはならない。
  • クラウドストレージはCSVを実施しなければ使用してはならない。
  • クラウドストレージは監査証跡機能がないので、GxPデータを保存してはならない。
  • CSV成果物の承認は手書き署名でなければならない。
  • 査察官へは署名した原本を提示しなければならない。

クリティカルシンキングでは、上記に対して本当にそうであるかを問いただす必要がある。
これまでのCSVにおける文書化は、患者のためではなく、規制当局の査察対応のために作成されてきた。
これはナンセンスである。
なぜCSVを実施するのか、果たして患者の安全性に寄与するのか、製品の品質を担保できるのかを根本的に考え直さなければならない。
一方で、上述の質疑応答でFrancisco Vicentyは「FDAはクリティカルシンキングをどのように定義しているか?」と問われ、下記のように回答している。
「製造業者、つまり製品を製造する企業および要員として、あなたはビジネスとプロセスを知っている。
リスクがどのように発生し、どこで重要であり、プロセスの観点から何が起こっているのかについて、最良の洞察を得ることができる。
クリティカルシンキングとは、システムがどこにリスクをもたらす可能性があるのか、製品またはプロセスのリスクとは何かを検討することである。
これは、FDAであろうと、任意の規制当局や査察官であろうと、あなたのストーリーを伝えるのに役立つ。
あなたがその話をすることができること、あなたがあなたの製品とあなたのプロセスについて理解し、制御する要素を持っていることを示すこと。
どの企業やシステムにも万能なものはない。
FDAは、あなたがあなたのプロセスとシステムを本当に理解していること、そしてあなたが管理していることを知りたがっている。
リスクがどこに潜んでいるのかを知っていることをFDAに伝えることができることを確認すること。」
つまり、FDAの査察官よりも、査察を受ける企業の担当者の方が製品やプロセスについて良く理解しており、またそれらのリスクを良く知っているはずだから、適切にリスクにふさわしい品質保証活動を実施していることを説明して欲しいということである。
FDAの査察官も今後は企業側の説明をちゃんとヒアリングし妥当であるかどうかを判断するようトレーニングを受けることとなる。

注:製品ソフトウェアとは医療機器に搭載するソフトウェアのことであり、非製品ソフトウェアとは製品を製造するために使用するソフトウェアのことである。

関連記事一覧