PIC/Sデータインテグリティガイダンス発効(その3)
データの重要性(Data criticality)
データの影響を決定する重要性が異なる場合があり、データが決定に与える影響も異なる場合がある。 データの重要性に関して考慮すべき点は次のとおりである。
- データはどの決定に影響するか?
例:倉庫の清掃記録に比べて、出荷判定(出荷承認)は重要である。 - データが製品の品質や安全性に与える影響は何であるか?
例:経口錠剤の場合、API 試験データは、錠剤の不適合性データよりも製品の品質と安全性に大きな影響を与える。
データリスク
データインテグリティ要件はすべてのGMP/GDP データに関連している。
データの重要度の評価は、対応の優先順位を付けをするために必要である。
優先順位付けの根拠は、品質リスクマネジメントの原則に従って文書化する必要がある。
データリスク評価では、意図しない変更、削除、損失(偶発的またはセキュリティ障害による)、再作成または意図的な改ざんに対するデータの脆弱性を考慮する必要がある。
また、そのような事象の検出可能性を考慮する必要がある。
災害が発生した場合に、完全でタイムリーなデータ回復を保証することも考慮すること。
不正行為を防止し、可視性/検出可能性を高めるコントロール対策は、リスク軽減重要である。
リスク評価では、ITシステムの機能や複雑さだけでなく、ビジネスプロセス(生産、QCなど)に焦点を当て、データフローとデータの生成および処理方法を評価する必要がある。 以下の点を考慮すること。
・プロセスの複雑さ(例:多段階プロセス、プロセスまたはシステム間のデータ転送、複雑なデータ処理)。
・データを生成、処理、保存、アーカイブする方法、およびデータの品質とインテグリティを保証する機能。
・プロセスの一貫性(例えば、生物学的生産プロセスまたは分析試験は、低分子化学と比較してより高度な変動性を示す可能性がある)
・自動化の程度/人間の相互作用
・結果/結果の主観性
・電子システムデータと手動で記録されたイベントとの比較結果(例:分析レポートと生データの取得時間の不一致)
・システムまたはソフトウェアに組み込まれた固有のインテグリティコントロール。
コンピュータ化されたシステムの場合、リスク評価プロセスでは IT システムとの手動インターフェースを考慮する必要がある。
人間の介入を許可しない、あるいは人間の介入を最小限に抑えるコンフィグレーション設定により、完全に自動化され、バリデートされたプロセスは、データインテグリティリスクを低減することができ望ましい。
査察官は、クリティカルシンキングスキルを使用し、コントロールおよびレビュ手順が望ましい結果を効果的に達成するかどうかを判断しなければならない。
データガバナンスの成熟度は、アクションを優先する残留リスクの組織的な理解と受容である。
データインテグリティ障害の「リスクがない」と考える組織は、データライフサイクルに内在するリスクを適切に評価していない可能性がある。
したがって、データのライフサイクル、重要度、およびリスクを評価するアプローチを詳細に検討する必要がある。
これは、査察中に調査できる潜在的な失敗事象の存在を示している可能性がある。