FDA CSAドラフトガイダンス(対訳付)

FDAがCSAガイダンスのドラフトを発出

2022年9月13日付で、FDAがドラフトガイダンス「Computer Software Assurance for Production and Quality System Software」(以下、CSAガイダンス)を公開した。
CSAガイダンスは医療機器の製造または品質システムの一部として使用されるコンピュータおよび自動データ処理システムのためのコンピュータソフトウェア保証に係る推奨事項を提供するものである。

CSVからCSAへ

FDA CDRHは2008年からCase for Quality Programを推進してきており、その一環としてCSAガイダンスの作成を業界やGAMPを巻き込み実施してきた。
現在規制要件で要求されているCSV(Computerized System Validation)は、文書化要求が多く、実施のためには時間、労力、コストがかかるという問題点があった。しかも、CSVで作成される文書は、製品の品質保証や患者の安全性の担保のために使用されるものではなく、規制当局の査察に対応するだけのものである。
つまり、無駄にコンプライアンスコストを消費してしまっていた。
医療機器企業における最終製品の品質保証においてCSV要求が最も高い障壁となってきた訳である。

CSAガイダンスは、医療機器の製造または品質システムに使用されるソフトウェアの信頼を確立し、追加的に厳密な保証を行うことが適切である場合を特定するためのリスクベースのアプローチによってコンピュータソフトウェアを評価するためのものである。
さらに、CSAガイダンスは21 CFR Part 820 (QSR)で求められるコンピュータソフトウェアの検証に係る要求を満たすための、客観的な証拠を提供するために適用できるさまざまな方法とテスト活動についても説明している。

GPSVガイダンスの問題点とCSAガイダンス

最終化されたCSAガイダンスは、FDAガイダンス“General Principles of Software Validation”(2002年1月発行。以下、GPSVガイダンス)を補足するものである。
FDAはGPSVガイダンスにおいて、ソフトウェアライフサイクルの一部として変更管理を実施することを含め、ソフトウェアバリデーションの原則を概説している。
しかしながら、その内容は医療機器に搭載されるソフトウェア(Embeded Software:製品ソフトウェア)が中心であり、医療機器業が社内で使用する非製品ソフトウェア(例:自動化システム、測定装置、苦情管理システム、ドキュメント管理システムなど)のCSVについてはほとんど記載されていなかった。

CSAガイダンスはソフトウェアバリデーションの原則をすべて説明することを意図したものではない。
CSAガイダンスは、GPSVガイダンスで説明されているソフトウェアバリデーションへのリスクベースのアプローチについて、医療機器の製造または品質システムに使用されるソフトウェアに適用するものである。
CSAガイダンスが最終化された暁には、GPSVガイダンスのセクション6「VALIDATION OF AUTOMATED PROCESS EQUIPMENT AND QUALITY SYSTEM SOFTWARE」(自動化されたプロセス機器及び品質システムソフトウェアの検証)を置き換えるものとなる。

なお、CSAガイダンスは、医療機器に組み込まれるソフトウェア (software in a medical device, SiMD)および医療機器としてのソフトウェア(software as a medical device, SaMD)に係る設計バリデーション(QSR §820.30による要求)には適用されません。

CSAガイダンスの目次

CSAガイダンスの目次は以下の通りである。

  1. Intoroduction(導入)
  2. Background(背景)
  3. Scope(適用範囲)
  4. Computer Software Assurance(コンピュータソフトウェア保証)
  5. Computer Software Assurance Risk Framework(コンピュータソフトウェア保証のリスクフレームワーク)
    A. Identifying the Intended Use(意図する使用を特定する)
    B. Determining the Risk-Based Approach(リスクベースアプローチを決定する)
    C. Determining the Appropriate Assurance Activities(適切な保証活動を決定する)
    D. Establishing the Appropriate Record (適切な記録を確立する)

   Appendix A. Examples (例)
   Example 1:Nonconformance Management System (不適合マネジメントシステム)
   Example 2:Learning Management System(LMS)(ラーニングマネジメントシステム)
   Example 3:Business Intelligence Applications (ビジネスインテリジェンスアプリケーション)

CSAガイダンスとリスクベースドアプローチ

CSAガイダンスでは、コンピューター ソフトウェアの使用目的の評価、製造または品質システムの一部であるソフトウェアのリスクベース分析の使用によって、特定したリスクレベルに基づいて適切な保証活動を特定し、システムが意図したとおりに動作していることを文書化するための記録の作成を含むコンピュータソフトウェア保証のリスクフレームワークについて概説している。

CSAガイダンスでは、プロセスリスクを「高いプロセスリスク(high process risk)」および「高くないプロセスリスク(not high process risk)」に分類し、それぞれの例について紹介している。
また、プロセスリスクの分類に応じて使用され得るコンピュータソフトウェア保証方法についても紹介している。

さらに、コンピュータソフトウェア保証が確立されていることの客観的な証拠として十分と認められる記録の作成に関する事項についても、CSAガイダンスに記述されている。

【筆者注】
CSAガイダンスはCDRHおよびCBERが発行している。したがって、主に医療機器企業が対象となるものである。
しかしながら、FDA CDRHはこれまでGAMPとも協力しCSVに代わるCSAを模索してきた経緯がある。
したがって、CSAガイダンスは医薬品企業でも使用可能である。
とうよりも、むしろ医薬品企業においても積極的にCSVからCSAへ移行させることが重要である。
またCSAは、GAMP 5とは全く矛盾していない。つまりGAMP 5は改定の必要はないのである。
詳しくは、筆者のYouTube動画「CSVからCSAへセミナー」を視聴されたい。

関連商品

関連記事一覧