全てのコンピュータシステムは CSV が必要か
全てのコンピュータシステムはCSV実施が必要か
筆者の元には、しばしばGxPデータを電子で管理することになったため CSVを実施したい旨の相談が寄せられる。
また当該ベンダーにCSVの実施を依頼した場合、多額の費用を請求されるための相談も多く寄せられる。
しかしである。
データを電子化したからといって、必ずしも全てのコンピュータ化システムのCSVは厳格に実施する必要はない。
その理由は2003年にFDAが発表したリスクベースドアプローチである。
リスクベースドアプローチをとった場合、患者の安全性、製品(原薬を含む)の品質、データインテグリティに直接影響を与えるデータを扱うシステムのCSV実施は重要である。
例えば、製造記録、品質試験記録、出荷判定記録、バリデーション記録、校正記録等を管理するシステムなどである。
一方で、GMPなどの規制要件やSOPで定義されており、記録の保存が義務付けられているデータであっても、患者の安全性、製品の品質、データインテグリティに対して間接的に影響するデータ(例:入退室記録、教育訓練記録、SOP等)を扱うシステムのCSV実施はそれほど重要ではない。
なお「重要なデータ」や「重要なシステム」に関しては、手順書等で定義した上で、各プロセスにおいてあらかじめリスクアセスメント(リスク評価)を実施し、定義しておかなければならない。
FDAが2003年8月に発行した「Guidance for Industry: Part 11, ElectronicRecords; Electronic Signatures – Scope and Application」には、FDAの重要なメッセージが記載されている。
FDA が推奨するアプローチは、正当化されたリスク・アセスメントの文書化、そして製品の品質、安全性、記録のインテグリティに影響を及ぼす可能性をもつシステムに重点をおいた判断を行うといったアプローチである。
このメッセージを受けて、2013年1月に改定された「PIC/S GMP Annex 11 Compterised Systems」の第1章 リスクマネジメントには、下記のような要求が記載されている。
リスクマネジメントは、患者の安全性、データインテグリティおよび製品の品質を考慮したコンピュータ化システムのライフサイクルで一貫して、適用されなければならない。
リスクマネジメントシステムの一部として、バリデーションとデータインテグリティの管理の範囲の決定は、正当と説明のできる文書化された当該コンピュータ化システムのリスクアセスメント(リスク評価)に基づいていなければならない。
ただし、勘違いしてならないことはGxPデータを扱うシステムである限りは、CSV実施の対象である。
CSVを全く実施しないで良いということではなく、CSVの実施の程度をリスクに応じて軽く済ませる必要があるということである。
例えば、教育訓練管理システムや入退室管理システムに対して、FDA等の規制当局がCSVの実施内容に関して指摘をしたとしよう。
規制当局は世界中の製薬企業に対して平等に指摘しなければならないため、世界中の製薬企業は多大なコンプライアンスコストを支払うこととなってしまう。
製薬企業が費やしたコンプライアンスコストは、薬価に転嫁され、結果的に患者負担となってしまうのである。
患者の安全性や製品の品質に何ら影響しない(または間接的にしか影響しない)データを扱うコンピューター化システムのCSV実施に対して、余分なコンプライアンスコストを遣うことは、患者負担を増大させてしまうだけである。何の価値も生み出さない。
今後、製薬企業は適切なリスクアセスメントができる力量を持つ必要があると言える。