CSAガイダンス発出までの長い経緯
2025年9月24日、FDAは「Computer Software Assurance for Production and Quality System Software(製造および品質システムソフトウェアに対するコンピュータソフトウェアアシュアランス)」の最終ガイダンスを発出した。
その後、FDA公式ページでは、現行文書として「Computer Software Assurance for Production and Quality Management System Software」が示されており、同文書は2025年9月24日版を置き換えるものとされている(FDA公式ページの現行情報として2026年2月3日時点で確認)。
FDAはこの現行文書について、医療機器メーカーが21 CFR Part 820のQuality Management System regulationに適合しつつ高品質な医療機器を製造できるよう支援するものと説明している。
ドラフト発出から3年、構想段階から数えれば十数年にもおよぶ長い道のりを経た、業界にとって重要な節目である。
本稿では、なぜCSAガイダンスの発出にこれほどの時間がかかったのか、そしてその裏に隠された「CSAは本当に新しい概念なのか」という根源的な問いについて、長年この動向を公開情報ベースで追跡してきた筆者の視点を交えて解説するものである。
CSAとは何か ー 初心者のための整理
CSA(Computer Software Assurance)とは、ソフトウェアの意図した用途(intended use)、プロセスリスク、患者安全・製品品質への影響を踏まえ、適切な厳格度の保証活動を選択する考え方である。
FDAは、製造業者が高品質な医療機器を製造しつつ21 CFR Part 820に適合できるよう、リスクベースのアプローチ、追加的な厳格度が必要となる場面の特定、各種テスト活動の活用について推奨を示している。
従来のCSV(Computer System Validation/コンピュータ化システムバリデーション)が「網羅的なドキュメント作成」に傾倒しがちであったのに対し、CSAは「リスクベース思考」と「Critical Thinking(クリティカルシンキング)」を前面に押し出した考え方である。
ポイントを整理すると以下の通りである。
ソフトウェアの意図した用途とリスクを起点に、保証活動の深さを決定する
ベンダーテストやベンダー資料を積極的に活用し、無駄な再テストを排除する
スクリプトテストだけでなく、アドホックテストや非公式テストも適切に活用する
ドキュメントは「証拠を残すため」ではなく「価値を生むため」に作成する
要するに、「やらされ仕事のCSV」から「思考するアシュアランス」への転換を促すものである。
なお、FDAガイダンスは法的拘束力そのものを新設する文書ではなく、FDAの解釈や推奨を示すものであり、適用法規を満たす別アプローチも許容される点には留意が必要である。
ドラフトから最終版まで ー 検討プロセスの経緯
FDAは2022年9月13日にCSAドラフトガイダンスを連邦官報で公表し、パブリックコメント期間を設けた。
寄せられたコメントは、Regulations.gov(ドケット番号 FDA-2022-D-0795)で確認可能である。
FDAはこれらのコメントを踏まえ、最終化作業を進めた。
筆者は公開情報をベースに、ドラフト発出の瞬間から、業界団体の意見書、各種コンファレンスでのFDA関係者の発言、関連解説などを継続的に追跡してきた。
なお、個別の業界団体(ISPE、PDA、PhRMA等)の意見書については、ドケットを通じて公開されている各団体のコメントレターを個別に参照されたい。
3年という期間は、決して「遅い」のではなく、むしろ「丁寧に練り上げた」ことの証左であると評価できる。
最終版で重視されている論点としては、以下のようなものが挙げられる。
テストの厳格度(rigor)の判断基準
ベンダー成果物の活用範囲
既存リソースの再利用とdouble work(二重作業)の排除
スクリプトテストとアンスクリプトテストの位置づけ
なお、データインテグリティ(ALCOA+原則)、21 CFR Part 11、AI/機械学習ソフトウェアといった関連論点については、実務上の検討課題として並行して議論されているが、CSAガイダンス本文での明確化範囲については原文を確認の上で個別判断が必要である。
独自の視点 ー CSAは本当に「新しい概念」なのか
ここで強調しておきたいのは、CSAは決して新しい概念ではないということである。
FDAが2002年に最終化した「General Principles of Software Validation」は、医療機器ソフトウェア、または医療機器の設計・開発・製造に使用されるソフトウェアのバリデーションに適用可能な一般原則を示した文書である。
そのため、CSAで強調されるリスクベース、意図した用途、適切な保証活動という考え方は、まったく新しい発想というより、従来のソフトウェアバリデーション原則をより実務的・明示的に整理したものと位置づけられる。
実務の現場では、「すべてのテストを一律に行う必要はない」「リスクに応じてバリデーションの深さを変えるべきだ」「ベンダー資料を活用せよ」というメッセージは、業界セミナーや公開資料の場で長年議論されてきたものである。
しかしながら、これらの考え方が明文化された包括的なガイダンス文書になっていなかったため、業界全体には十分に浸透しなかったと考えられる。
とりわけ、一部の企業では「FDAは厳格な網羅的バリデーションを求めている」という保守的な解釈が残り、過剰なドキュメント作成、無意味な再テスト、形骸化したIQ/OQ/PQが行われてきた事例が見受けられた。
明文化されたガイダンスが発出されたことの意義は、査察官、品質保証担当者、ベンダー、コンサルタントの間で、共通言語としてのCSAが機能し始めることにある。長年の過度な文書化傾向を見直す契機として、本ガイダンスは大きな役割を果たすものと期待される。
規制動向としての位置づけ ー FDA・EMA・PMDA
CSAガイダンスは米国FDAが発出したものであり、その直接の対象は医療機器の製造および品質マネジメントシステムである。一方で、その思想は他の規制領域でも参照されつつある。
EMA/PIC/S:EU GMPのChapter 4、Annex 11、新Annex 22に関するステークホルダー協議が2025年7月に開始されている。Annex 11改訂案は、品質リスクマネジメント、ライフサイクル、供給者管理、データインテグリティ、監査証跡、電子署名、セキュリティの強化を含んでおり、リスクベース/ライフサイクル管理の方向性においてCSAと親和性が高いと評価できる。なお、新Annex 22はAIを扱う文書として提案されている。
PMDA:日本国内でも、業界セミナーや関連解説の場でCSA的アプローチが取り上げられている。ただし、PMDA公式の方針文書としてCSAをどのように位置づけるかについては、関連通知・事務連絡・査察運用を個別に確認する必要がある。
国際調和:CSAの考え方は、リスクベースアプローチやライフサイクル管理という国際的な規制潮流と親和性があるため、今後の国際調和の観点から注視されるテーマである。
また、医薬品GMP領域でのCSA適用については、FDA本ガイダンスの直接対象ではないため「参考になる」「応用可能性が議論されている」という位置づけで捉えるのが適切である。
実務への示唆 ー ベストプラクティス
CSA最終ガイダンスを受けて、企業が検討すべき主なアクションを整理する。
なお、以下は「必須要求事項」ではなく、リスクベースのアプローチを取り入れる上での実務的な推奨事項である。
第一に、既存のCSV手順書(SOP)を見直すことである。網羅的なテストを前提とした手順を、リスクベースのアシュアランス活動に転換する作業が有効である。
第二に、ベンダーアセスメントの強化である。ベンダーテストを活用するためには、ベンダーの品質システムや開発プロセスを評価する能力が不可欠である。
第三に、人材育成である。CSAは「思考するアプローチ」であり、手順書をなぞるだけでは実践できない。Critical Thinkingを実装できる人材の育成こそが、最大の課題となるのである。
おわりに
CSAガイダンスの発出は、ゴールではなくスタートである。
長年明文化されてこなかった原則が、公式文書として世に出た今、業界がこれをどう受け止め、どう実装していくかが問われている。
規制動向は「発出された瞬間」よりも「その後の運用」が重要である。
FDAが現行版を「Quality Management System Software」として位置づけ直していることからもわかるように、関連規制(21 CFR Part 820のQuality Management System regulation等)との整合性を踏まえた継続的な追跡が、コンプライアンス担当者には求められるのである。
参考文献・一次情報
FDA, “Computer Software Assurance for Production and Quality Management System Software”(現行版、FDA公式ガイダンス検索ページ)
Federal Register, “Computer Software Assurance for Production and Quality System Software; Draft Guidance for Industry and FDA Staff”(2022年9月13日掲載)
Regulations.gov, ドケット番号 FDA-2022-D-0795(パブリックコメント原本)
FDA, “General Principles of Software Validation”(2002年最終化)
European Commission, EudraLex Volume 4 GMP Chapter 4・Annex 11・新Annex 22 ステークホルダー協議(2025年7月開始)