データインテグリティを脅かす事象の8割とは

2026.05.12

データインテグリティ（Data Integrity、データの完全性）は、医薬品の製造・品質管理（GMP）および流通管理（GDP）領域を中心に、品質保証における最重要概念の一つとして位置付けられている。
FDAが発行する警告書（Warning Letter）やEU GMP査察における指摘事項を分析すると、データインテグリティに関する違反が頻繁に登場することがわかる。
なお、本稿で参照するMHRA、PIC/S、FDA、WHOの各ガイダンスは、主に医薬品GMP/GDP領域を対象とするものである。
医療機器分野においても、ISO 13485やQMSR、21 CFR Part 11、ソフトウェアバリデーション等を通じてデータインテグリティの考え方は適用されるが、根拠文書の体系は別途参照する必要がある。
ここで多くの実務担当者が抱きがちな誤解がある。
「データインテグリティ問題＝意図的な不正・改ざん」という認識である。確かに過去には大規模なデータ捏造事件が報じられ、それらが業界に与えた衝撃は大きかった。しかし、現場の実態を丁寧に観察すると、まったく異なる構図が浮かび上がる。
業界における査察結果や監査現場の経験則として、データインテグリティを脅かす事象の大半は、悪意ある不正ではなく、ヒューマンエラー、手順上の不備、あるいはシステム設計の欠陥に起因するとも言われる。
「約8割がヒューマンエラーに起因する」との整理も見られる。
いずれにせよ、不正対策のみに注力した施策では、問題の本質を捉えることはできない。
本稿では、データインテグリティ問題の真の構図を整理し、なぜ不正対策中心のアプローチでは不十分なのか、そして真に有効な対策とは何かを解説する。

データインテグリティとは何か

定義とALCOA+原則

データインテグリティとは、データのライフサイクル全般（生成・記録・処理・保管・廃棄）にわたり、その完全性、一貫性、正確性が維持されていることを指す。
MHRA（英国医薬品・医療製品規制庁）が2018年3月に発行した「’GXP’ Data Integrity Guidance and Definitions」では、データインテグリティを「データのライフサイクル全体を通じた、データの完全性（completeness）、一貫性（consistency）、正確性（accuracy）の度合い」と定義している。
データインテグリティを評価する具体的な基準として、ALCOA+原則が広く用いられている。
FDAはALCOA（Attributable, Legible, Contemporaneous, Original, Accurate）を用いてデータの信頼性を説明しており、MHRA等の文書ではこれにComplete、Consistent、Enduring、Availableを加えた「ALCOA+」として整理されている。
MHRAの2018年ガイダンスは「+」要素を含む全体としてデータライフサイクルを管理する考え方を重視している。

略号 / 英語 / 日本語 / 意味
————————————————————–
A / Attributable / 帰属性 / 誰が記録したか特定可能
————————————————————————
L / Legible / 判読性 / 読み取り可能
————————————————————————
C / Contemporaneous / 同時性 / 行為と同時に記録
————————————————————————
O / Original / 原本性 / 一次データであること
————————————————————–
A / Accurate / 正確性 / 事実に即していること
————————————————————————
+ / Complete / 完全性 / 欠落がない
————————————————————————
+ / Consistent / 一貫性 / 矛盾がない
————————————————————————
+ / Enduring / 永続性 / 必要期間保持される
————————————————————————
+ / Available / 可用性 / 必要時に取り出せる

なぜデータインテグリティが重要なのか

医薬品の安全性および有効性は、製造記録や試験データに基づいて評価される。
データの信頼性が損なわれれば、製品の品質判定そのものが成立しない。
これは患者安全に直結する重大事項であり、規制当局がデータインテグリティを最重要監視項目として位置付ける理由でもある。
同様の考え方は、医療機器の品質マネジメントシステムや電子記録運用にも本質的に適用される。
PIC/Sが2021年7月1日に発効させた「PI 041-1：Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments」では、データインテグリティが品質システム全体を貫く横断的概念として位置付けられている。

不正だけが脅威ではない：実態の解明

警告書から見える典型的な指摘事項

FDAが過去数年間に発行した警告書を分析すると、データインテグリティ関連の指摘には以下のような類型が頻出する。
これらの中には悪意ある不正に該当する事例も含まれるが、運用・手順・システム設計上の不備に起因するものが相当数を占めている。

1. 監査証跡（Audit Trail）の不備

電子記録の変更履歴が記録されていない、または記録されていても定期的にレビューされていない事例が多数報告されている。
これは多くの場合、システム導入時の設定ミスや、運用手順の未整備に起因する。

2. 共有ID・パスワードの使用

複数の作業者が同一のユーザーアカウントを使用して機器を操作する事例である。
21 CFR Part 11が要求する電子署名の一意性に違反するが、悪意があってのことではなく、単に「業務効率のため」「IT管理が煩雑だから」といった理由で慣行化していることが多い。

3. 試験結果の選択的記録

クロマトグラフィーシステム等で、複数回測定した結果のうち望ましいデータのみを記録するケースである。
これには明確な不正に該当する事例もある一方「再現性確認のための予備測定は記録不要」と現場が誤って解釈している事例も少なくない。

4. 紙記録への遅延転記

機器から印刷したデータを、後日まとめてノートに転記する慣行である。ALCOA+のContemporaneous（同時性）に違反するが「忙しいので後でまとめて記録する」という運用が暗黙に許容されているケースが多い。

ヒューマンエラーの心理学的分類

産業心理学の分野では、人間のミスを以下のように分類する考え方が確立されている（James Reasonによる「ヒューマンエラーの分類」）。

スリップ（Slip）：意図とは異なる動作を実行してしまうミス（ボタンの押し間違い等）
ラプス（Lapse）：記憶の欠落により必要な行為を省略するミス（記録忘れ等）
ミステイク（Mistake）：誤った認識・判断に基づく行為（手順を誤って理解している等）
違反（Violation）：意図的に手順から逸脱する行為（実務上は「日常的違反」「状況的違反」「悪意ある違反」等に細分して整理されることがある）

データインテグリティ問題の多くは、最後の「悪意ある違反」ではなく、それ以前の「スリップ」「ラプス」「ミステイク」、あるいは「日常的違反（手抜き）」「状況的違反（圧力下の逸脱）」に該当する。

不正対策中心アプローチの限界

「監視を強化すれば防げる」という誤解

不正対策のアプローチは、典型的には「監視カメラの設置」「アクセス権限の厳格化」「監査頻度の増加」といった統制強化に向かう。
これらは悪意ある改ざんを抑止する効果は高いが、スリップ、ラプス、手順の誤解に起因するエラーの予防には限界がある。
むしろ、過度な統制は現場の負担を増やし、新たなエラーを誘発する可能性すらある。
たとえば、すべての記録に上長承認を必須とする運用を導入した場合、上長が多忙な時には承認待ちが発生し、現場は「とりあえず記録して後から承認を取る」という抜け道を作りがちである。
これがALCOA+のContemporaneous違反の温床となる。

「教育だけで十分」という誤解

もう一つの典型的な対応が「教育・訓練の強化」である。
教育はデータインテグリティ確保の必要条件であるが、それのみでは十分ではない。
ヒューマンエラーの本質を踏まえずに「もっと注意せよ」「ルールを守れ」と繰り返すだけでは効果は限定的であり、スリップやラプスは注意力に頼る限り完全には防げない。
教育に加えて、手順整備、アクセス管理、監査証跡レビュー、電子記録システムの適切な設計、報告しやすい品質文化の醸成といった施策を組み合わせる必要がある。
人間は本質的にミスをする生き物であるという前提に立ち、ミスが発生してもデータの完全性が保たれる「仕組み」を設計する発想が求められる。

アプローチの違いを整理する

観点 / 不正対策中心アプローチ / 統合的アプローチ
—————————————————————–
想定する事象 / 悪意ある違反 / ヒューマンエラー＋違反全般
—————————————————————————
主な手段 / 監視・統制・処分 / システム設計＋文化醸成＋教育
—————————————————————————
報告文化への影響 / 萎縮させやすい / 報告促進
—————————————————————————
再発防止効果 / 限定的 / 構造的
—————————————————————————
対象事象のカバー率 / 全体の一部 / 全体の大半

真に有効な対策の方向性

システム設計による予防

最も効果的なのは、ヒューマンエラーが発生し得ない、あるいは発生しても影響を及ぼさないシステムを設計することである。
具体的には以下のようなアプローチが挙げられる。

強制機能（Forcing Function）の組み込み

たとえば、電子天秤からのデータ取得において、測定値を必ずシステムに自動転送する仕組みにすれば、転記忘れや転記ミスは原理的に発生しない。
電子記録システムは、適切に設計・バリデートされ、アクセス管理、監査証跡、電子署名、データ保持の各機能が正しく運用されて初めて、転記ミスや帰属性欠如の低減に寄与する。
21 CFR Part 11への適合は、その前提条件の一つである。

監査証跡の自動レビュー

監査証跡を人間が目視レビューするのではなく、異常パターンをシステムが自動検出して通知する仕組みを構築する。
これにより、レビュー漏れというヒューマンエラーを防げる。

フールプルーフ設計

入力可能な値の範囲を制限する、必須項目を未入力のままでは保存できないようにする等、設計段階でエラーを排除する。

ジャストカルチャー（Just Culture）の醸成

エラー報告を萎縮させない組織文化が、データインテグリティ確保の前提となる。
「ミスを報告したら罰せられる」という文化では、現場はエラーを隠蔽するようになり、結果として「悪意ある違反」へ転化するリスクが高まる。
ジャストカルチャーとは「個人を罰するか否か」ではなく、「行為が許容範囲内か逸脱か」を客観基準で評価する文化である。
スリップやラプスは責めずに再発防止策を構築する一方、悪意ある違反は厳正に処分する。
この区別が機能して初めて、健全な報告文化が成立する。

適切な根本原因解析（RCA）

エラーが発生した際「担当者の不注意」で片付けず、なぜそのエラーが発生し得たのかを構造的に解析する必要がある。
Reasonの「スイスチーズモデル」では、複数の防御層に偶然開いた穴が一直線に並んだときに事故が発生するとされる。
一つひとつの防御層を補強することで、同種事象の再発を防ぐ発想が重要である。

実践的な導入アプローチ

ステップ1：自組織の事象分析

まず自組織で過去に発生したデータインテグリティ関連の逸脱・指摘を分類する。何件が悪意ある不正で、何件がヒューマンエラーやシステム不備に起因するのかを定量的に把握する。多くの場合、不正対策に偏った既存の対策が、実態とずれていることが見えてくる。

ステップ2：システム的予防策の優先順位付け

リスクベースアプローチに基づき、患者安全への影響が大きい領域から、システム的予防策を導入する。電子記録システム導入、監査証跡レビューの自動化、データ転送の自動化等が典型例である。

ステップ3：教育内容の見直し

「不正をするな」という抽象的訓練ではなく、ALCOA+各原則の具体的意味、自部門でよく発生するエラー類型、エラー発生時の正しい報告手順等、実務に即した内容に再構成する。

ステップ4：報告文化の評価と改善

ジャストカルチャーが機能しているかを定期的に評価する。エラー報告件数が極端に少ない場合、それは「エラーが少ない」のではなく「報告されていない」可能性が高いことに留意する必要がある。

今後の展望

AIによるデータインテグリティ監視

近年、機械学習を用いて監査証跡の異常パターンを検出するツールが登場している。
クロマトグラフィーデータの統計的異常検出、ログイン履歴の異常パターン検知等、人間のレビューでは見落とされがちな傾向を捉える技術である。
これらは不正検出にもヒューマンエラー検出にも有効であり、両者を分離せずに統合的に監視できる点に意義がある。
ただし、現時点においてAIによる監査証跡監視は規制要求として確立されたものではなく、あくまで人によるレビューを支援する補助的手段である。
導入にあたっては、当該システム自体のバリデーション、検出アルゴリズムの妥当性確認、誤検知・見逃しに対する人による評価プロセスの確保が不可欠である。

規制動向

PIC/S PI 041-1や、各国規制当局のガイダンスは、データインテグリティを「技術的問題」ではなく「組織文化と品質システム全体の問題」として位置付ける方向性を強めている。
経営層のコミットメントとガバナンス体制が査察対象に含まれるようになっており、現場担当者の努力だけでは対応しきれない状況となりつつある。
WHOが2021年にWHO Technical Report Series第1033号Annex 4として発行した「Guideline on data integrity」も、組織のガバナンスと品質文化を重視する流れに沿った内容となっている。

まとめ

データインテグリティを脅かす事象の大半は、悪意ある不正ではなく、ヒューマンエラー、手順の不備、システム設計の欠陥に起因する。この実態を踏まえれば、不正対策一辺倒の施策では本質的な解決には至らないことが理解できる。
真に有効なアプローチは、第一にヒューマンエラーが発生してもデータの完全性が保たれるシステム設計、第二にエラー報告を促すジャストカルチャーの醸成、第三に構造的な根本原因解析に基づく再発防止、の三つに集約される。
データインテグリティは、コンプライアンス上の遵守事項であると同時に、患者安全を支える根幹である。「人を疑う」発想から「仕組みで守る」発想への転換こそが、これからのデータインテグリティ管理の中核となるであろう。不正対策は依然として必要であるが、それは全体の一部分に過ぎない。経験則として大半を占めるとされる、ヒューマンエラーやシステム不備の領域に正面から取り組むことが、真にデータインテグリティを守る企業の条件となる。