Warning: Undefined variable $display_side_content in /home/ecompliance/ecompliance.jp/public_html/wp-content/themes/rumble_tcd058/functions.php on line 426
eDMSの導入について – お役立ち情報

eDMSの導入について

Back to Archive
Keyword
Select Category
Question Status
Ask Question
質問
0
四維
2月 26, 2026 10:18 PM 1 Answers CSV
Member Since Jan 1970
Unsolved Solved Mark as Solved Mark as Unsolved
Subscribed Subscribe Not subscribe
Flag(0)

eDMSは製品の安全性に影響しないため、CSVは(ほぼ)不要とセミナーで聞いた覚えがありますが、導入する場合、最小限にやらなければならないCSV(あるいはCSA)はどういったものがあるのでしょうか。リスクベースのCSAを選択する場合、その計画や実施結果などもCSVプラン、CSVレポートと称して問題ないでしょうか。

それから、例えば、Part11では定期的にPWの変更を要求する条項があるかと思いますが、パラメータを変更なしに設定したことは指摘事項につながるのでしょうか(どこまで監査をされるか)。

0 Subscribers
Submit Answer
1 Answers
Sort By:
Best Answer
0
ecompliance
3月 03, 2026
Flag(0)

1. eDMSに対するCSA(CSV)の最小限の必須活動

前提

eDMSは製品品質に直接影響しない間接支援システムに位置づけられるため、GAMP5第2版(2022年)が推奨するリスクベース・クリティカルシンキングのアプローチに基づき、バリデーション活動の規模をリスクに応じてスケールダウンすることが認められています。GxP上の主な関心事は「記録の信頼性」(21 CFR Part 11 / EU Annex 11対応)となります。 なお、以下の「必須/省略可」はガイダンスに明文化された絶対要件ではなく、リスクベースアプローチに基づく実務的解釈です。自社のシステム分類やリスク評価の結果によって調整してください。

最小限のコアドキュメント

ドキュメント 内容 備考
CSAプラン(またはCSVプラン) スコープ、リスク評価方針、テスト戦略の定義 必須
リスクアセスメント 機能ごとのGxPインパクト・リスクレベルの評価 必須
ベンダーアセスメント 開発元のQMS、GAMP分類(カテゴリ4/5)の確認 必須
設定仕様(Configuration Specification システム設定・ユーザー権限等の根拠と内容の記録 必須
テスト記録(OQ相当) リスク高機能の動作確認記録 リスク高機能に絞って実施可
CSAサマリーレポート(またはCSVレポート) アセスメント・テスト結果の総括 必須
URS(ユーザー要件仕様) リスクが低ければ簡略化可
DQ / IQ 設計・導入適格性評価 SaaS/クラウド型では通常省略可
PQ 運用適格性評価 eDMSでは省略・簡略化が多い

eDMSで重点的に検証・記録すべき機能

監査証跡(Audit Trail)の有効化とレビュー手順、電子署名の設定(Part 11対応)、アクセス制御・権限管理の設定根拠、バックアップ・リカバリ手順は、いずれもリスクが高い機能として重点的に確認・記録することが推奨されます。    

2. 「CSVプラン/CSVレポート」という名称の使用について

問題ありません。 FDAのCSAガイダンスはリスクベースのCSAアプローチを推奨していますが、「CSVという用語を使ってはならない」とは定めておらず、従来のCSVアプローチの継続使用も認めています。GAMP5第2版も同様に、CSAを新たに紹介しつつCSVとの橋渡しをしている構成です。規制当局の査察・ガイダンス文書でも依然「CSV」は広く使われています。 重要なのは名称ではなく、文書の内容が規制要求を満たしているかどうかです。 社内で「CSAプラン」「CSVプラン」のいずれを採用しても差し支えありませんが、用語は社内で統一することが望ましいです。    

3. Part 11におけるパスワード定期変更について

条文の正確な解釈

21 CFR Part 11 § 11.300(b) には、識別コード・パスワードについて以下が要求されています。 識別コードおよびパスワードが、定期的にチェック、リコール、または改訂(periodically checked, recalled, or revised)されることを確保する手順を設けること。 この条文から以下の通り整理できます。
項目 内容
条文にあるもの 定期的なチェック・リコール・改訂(revision)の確保
条文にないもの 「90日ごとに変更」等の具体的な変更間隔・頻度
すなわち、「定期的な見直し・改訂」の概念は条文中に明確に存在します。一方で、全員に強制的なパスワード変更を課すことのみが唯一の対応方法とは読めず、「チェック」や「リコール」も含む柔軟な対応が認められています。

「変更なしの設定」は指摘事項になるか

パスワード変更間隔を設定しない(または長期間に設定する)こと自体が直ちに条文違反になるわけではありませんが、全くレビューも変更も行わない運用は § 11.300(b) の趣旨と整合しないと解釈されるリスクがあります。 査察では設定値そのものより、以下の点が問われます。
  • パスワードポリシーがSOPや手順書として文書化されているか
  • そのポリシーが 11.300(b) の要求を踏まえた合理的な根拠に基づいているか
  • 文書化されたポリシーが実際に運用されているか(SOPと実態の乖離が最も指摘されやすい)

推奨対応

パスワード強制変更の機能を使わない場合でも、例えば「四半期ごとにアカウントレビューを実施し、不審なアクセスがあれば即時リセットする」等の代替コントロールをSOPに明文化することで、条文要求への対応を説明できます。「何も考えずにデフォルト設定のまま」という状態が最も査察上のリスクになります。 なお、eDMSそのものを対象とした査察の頻度・深度は製造設備系システムより一般的に低いですが、電子記録・電子署名の運用実態(誰がいつ署名したか、監査証跡を実際にレビューしているか等)は確認されます。    

まとめ

論点 結論
CSAの最小限活動 CSAプラン・リスクアセスメント・設定仕様・リスク高機能のテスト記録・CSAレポートがコア。DQ/IQ/PQはリスクに応じて省略・簡略化可
CSV/CSAの名称 どちらでも問題なし。中身が重要
PW定期変更の条文 § 11.300(b) に「定期的なチェック・リコール・改訂」の要求は存在する。具体的な変更間隔の規定はない
設定値の指摘リスク 設定値より「根拠の文書化」と「SOPと実態の一致」が査察の焦点
 
Sign in to Reply
Replying as Submit

関連記事一覧