電子化のリスク
*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
本文書の改訂は予告なく行われることがあります。
FDAは、1997年3月20日に発表した21 CFR Part11の前文(preumble)のコメント88で、以下のように電子記録・電子署名に関する懸念を表明している。
電子記録および電子署名(とりわけ、識別コードとパスワード)は、従来の文書による記録と手書き署名に比べ重要性や正式性が低いと、一般に認識されている可能性がある。 したがって、各人とも電子記録が偽造された場合の重大性を文書記録の偽造の場合と全く同等に重大なことであると考えないかも知れない。 従業員は署名や記録偽造の重大性とそれがもたらす結果を理解する必要がある。 従業員に正直であることを規則で要求してもそれが保証されるものではないことにFDAも同意見であるが、従業員が電子記録と電子署名の真実性を維持することの重要性を確実に理解するようにするには、強い責任感と義務感をもつことを方針として示すことが必要である。 |
FDAが主張していることは、次のようなものである。
- 電子記録および電子署名は、重要性や正式性が低いと考えてしまう。
例えば、重要な電子ファイルを誰でもがアクセスできるような、ファイルサービス上に置いていないだろうか。これは、いわばテーブルの上に書類を放置していることに等しい。誰でもが改ざんできる状態においてあるようなものである。電子ファイルも紙媒体同様、鍵のかかる環境で保存しなければならない。つまりセキュリティに十分配慮しなければならないのである。 - 電子署名を軽んじてしまう
例えば、
ライブドアの偽メール事件
平成18 年の1 月頃の国会で、いわゆる「ライブドアの偽メール事件」が持ち上がった。(図1参照)
これは当時のライブドアの社長が、当時の自民党の幹事長の二男に選挙資金として3,000 万円を振り込むよう指示したとされる電子メールである。
このメールをある民主党の代議士が取り上げ、自民党に問い質したのである。
それに対し自民党は「そのメールは真正なものか」と質問を行った。
図1. ライブドアの偽メール事件
ここで”真正な記録”とは、次の3つをすべて立証できるものでなければならない。
- 記録が主張しているとおりのものであること。つまり本物であるということ。
- それを作成又は送付したと主張する者が、自ら作成又は送付していること。
- 主張したとおりの時間に作成し、送付していること。
結果的に民主党は、当該メールを真正なものとは証明できなかった。
その結果、責任をとって、このメールを取り上げた代議士は議員辞職をし、当時の民主党の代表は辞任した。
ここで、なぜ民主党はこのメールが真正なものだと証明できなかったか、ということを考えてみていただきたい。
その答えは、ワープロだからである。お解りであろうか。つまり筆跡がないからである。
電子メールやワープロで作成した文書は、筆跡が残らず、誰が作成しても同じように見えるのである。すなわち赤の他人がなりすまして偽造していたとしても、見破れないのである。
これが電子化における真正性の課題である。
たとえば、医療機関におけるカルテの場合、これまでの紙のカルテであれば主治医の筆跡が残っており、あきらかに当該主治医が記載したものであることが容易に判別できた。
しかしながら、カルテが電子化され電子カルテになった場合は、筆跡が残らず、上記の偽メール事件のように、誰が作成したものか不明確になる可能性があるのである。
電子化におけるリスク とER/ESの要件
ここで、電子化におけるリスクを整理してみたい。
図2. 電子化におけるリスク と厚労省ER/ESの要件
まず、上述した通り「電磁的記録の作成者がわからなくなる」というリスク がある。なぜならば筆跡が残らないからである。つまり誰が作成した記録であるかが不明確になってしまうのである。
また「電磁的記録の承認者がわからなくなる」リスク もある。紙媒体の場合は、承認時に手書きの署名または記名・捺印を行うことになる。しかしながら電磁的記録の場合は、承認時に電子署名を使用するため、筆跡が残らない。したがって誰が承認ボタンや署名ボタンを押したかわからなくなってしまうのである。たとえばEDCシステムの場合、治験責任医師が、自身のパスワードを助手や学生に教えて、代わりに署名させることも可能で、本当に当該治験責任医師が署名したのかどうか不明確になるのである。
このように、他人になり変って記録を作成したり、記録を承認するなどの行為のことを”なりすまし”という。この”なりすまし”を規制当局は最も懸念するのである。
さらに「許可されていない者が電磁的記録の入力・変更を行う」リスク や「電磁的記録を上書き変更・削除してしまう」リスク もある。
”なりすまし”と並んで、規制当局が最も懸念するリスク は「電磁的記録及び電子署名を改ざんする」リスク である。ここで、意図しない変更を”改ざん”という。
紙媒体で”改ざん”を行った場合、砂消しゴムで消した跡や、修正インクで消した跡が残る。また再作成した場合は、紙が新しくなっていたり、紙質が異なるなど不自然さが見てとれる。
しかしながら、電磁的記録は何の跡形も残さず、まったく記録を書き換えてしまうことができてしまうのである。
規制当局が査察を行った際に、電磁的記録が改ざんされていないかどうかを確認することは、困難である。
では観点を変えて、違った電子化のリスク の側面を紹介しよう。
「電磁的記録は直接人の目で見えない」というリスク がある。
たとえば、フロッピーディスクにデータを保管していたとしよう。このデータを読みだすために何が必要であろうか。そうフロッピーディスクドライブが必要なのである。ここでフロッピーディスクを例に挙げたのがミソである。
現在では、ほとんどのパソコンには、フロッピーディスクドライブが装填されていない。
さらに当該電磁的記録を読みだすためには、適切なバージョンのソフトウェアが必要となる。
例えば10年前のMS Wordの文書が読みだせるか。また現在のソフトウェアで作成した文書が10年後に読みだせるかという課題である。
このように電磁的記録は、紙媒体と違って、ハードウェアとソフトウェアの助けを借りて、はじめて読みだすことができるのである。
さらに観点を変えて、もう1つの電子化のリスク の側面を紹介しよう。
「保存した電磁的記録および電子署名が消失・変質・破壊される」リスク や「保存した電磁的記録および電子署名が読み出せなくなる」リスク がある。
最近では、写真を撮る際に、フィルム式のカメラではなく、デジタルカメラを使用することが多い。
問題は、そのデジタル画像をどこに保管しているかである。
多くの場合、パソコン等のハードディスクに保管していることと思われるが、几帳面な人の場合は、CD-RやDVDに焼き、ラベルを貼って保存していることであろう。
実はこの行為は危険である。なぜならばCD-Rなどの場合、その寿命は長くて10年である。すなわち10年後には、経年劣化のため、読み出せなくなることがあるのである。
しかも適切に保管していた場合であって、もし万が一直射日光に当て続けたり、折ったり、割ったり、傷つけた場合はその限りではない。
紙の場合は、保存状態さえ良ければ、1000年以上も前の古文書が未だに読むことができる。しかしながら電磁的記録媒体の場合は、高々10年である。
電子による保存は、紙媒体に比べてあまりにも寿命が短いといえる。
以上のような電子化のリスク を回避するために、規制当局は要件を定めているのである。
それは、
である。
1.目的 2.用語の定義 3.電磁的記録利用のための要件 3.1 電磁的記録の管理方法 3.1.1 電磁的記録の真正性・・・本物か? 3.1.2 電磁的記録の見読性 ・・・いつでも書面に戻せるか? 3.1.3 電磁的記録の保存性 ・・・長期保存できるか? 3.2 クローズド・システムの利用 3.3 オープン・システムの利用 4.電子署名利用のための要件 5.その他 |
図3. ER/ES指針 目次
平成17年4月1日に、厚生労働省医薬食品局長通知として発出された「医薬品等の承認又は許可等に係る申請等に関する電磁的記録・電子署名利用のための指針」(以下、ER/ES指針)では、これら「真正性」、「見読性」、「保存性」の確保を要件としているのである。
簡単に説明すると、真正性とは、当該記録が本物であるかということである。すなわち本人が入力し、または修正し、署名したものかということである。
見読性とは、いつでも書面に戻せるかということである。すなわち書面の形式をもって、ディスプレイに表示できるか、または紙媒体に印刷ができるかとういことである。ここで「いつでも」というのが鍵である。電磁的記録を読みだす際に、コンピュータを設置し、立ち上げて読み出せるまでに15分もかかるようではいけない。
さらに保存性とは、長期保存できるかということである。電磁的記録を長期間保存するためには、当該電磁的記録媒体の寿命が来る前に、新しい電磁的記録媒体に移行させなければならないのである。
最低限、これら「真正性」、「見読性」、「保存性」の要件を確保しなければ、治験のデータに限らず、あらゆるデータを電子化してはならないというのが、ER/ES指針の趣旨である。
ER/ES指針が求める真正性の要件
ER/ES指針では、真正性の要件として、さらに3つの要件を定めている。
それらは「セキュリティ」「監査証跡」「バックアップ」である。(図4参照)
(1) セキュリティ(2) 監査証跡(作成記録・変更記録)(3) バックアップ |
図4. ER/ES指針が求める真正性の要件
通常セキュリティは、ユーザIDとパスワードの組合せにより、ユーザの権限を設定することにより実現する。これは、改ざんの防止のためである。
次に監査証跡であるが、電磁的記録を保持するコンピュータシステムは、「誰が」「何時」「どのフィールドを」入力したのか、また「誰が」「何時」「どのフィールドを」「何から」「何に」変更したのかを自動的に記録しなければならない。これは改ざんの発見のためである。
最後にバックアップである。
バックアップはなぜ真正性の要件か?
バックアップがなぜ真正性の要件かというと、バックアップをとらないまま、災害(火災、地震等)が起きた場合、監査証跡が消失してしまうからである。
監査証跡は、前述の通り、誰が何時、入力または変更を行ったかを記録したものである。災害時にバックアップがない場合、手作業でデータを復旧したとしても、監査証跡が確認できなくなり、当該記録が真正なものであるかどうかが確認できなくなるのである。
FDAは、監査証跡がない場合、当該記録の査察を拒否することがある。
さらに災害復旧時におけるバックアップからのリストアは、あらかじめ定められた手順により実施しなければならない。これは、復旧時に不正を行わせないためである。例えば、データベースに直接手作業でデータを入力する行為などは、監査証跡を記録しないため、厳重な管理が必要である。
電磁的記録における見読性の問題
電子文書は、電磁的記録として、あるデータ形式で保存されるものである。その内容は、適切なソフトウェアの助けを借り、ディスプレイに表示又はプリントアウトすることなどにより初めて確認できる。
また、電磁的記録を保存するデータ形式には、特定のベンダーによって定義され、フォーマットが公開されていないものも多数ある。こうした形式では、当該ベンダーがそのサポートを止めた場合に、適切な表示ができなくなってしまうというおそれがある。こうした問題は、OSやソフトウェアを交換又はアップグレードした際にも生じうるものである。
そのため電磁的記録による保存では、見読性の要件が求められることになる。
電子カルテのガイドラインによると、
「見読性とは、電子媒体に保存された内容を必要に応じて肉眼で見読可能な状態に容易にできることである。なお、”必要に応じて”とは「診療、患者への説明、監査、訴訟等に際して、その目的に応じて」という意味である。また、「容易に」とは、「目的にあった速度、操作で見読を可能にすること」を意味する。」とある。
さらに平成17年に施行されたe-文書法では、もともと書面(紙媒体)で作成された記録をスキャナなどを用いて電子化した画像データも一定の要件を満たせば原本として認められることとなった。
スキャニングによりイメージ化文書を生成する場合、スキャナの設定(光学解像度・階調・色調等)を適切に行わないと、紙に書かれた内容の一部(場合によっては、全部)が読み取ることができなくなってしまう。また、データ量を減らすため圧縮を施す際には、圧縮方式や圧縮率を適切に定めないと、内容の一部又は全部が判読できなくなってしまう。
筆者は「見読性」とは、「いつでも書面の形式に戻せることである」と解釈している。
つまり書面での保存に変えて電磁的記録による保存を認めるのであるから、必要に応じていつでも本来の書面の形式に戻せなければ、電子化による品質の劣化ということになるからである。
「いつでも」とは、保存期間中のことを指し、以下の事項に留意する必要がある。
当該電磁的記録(媒体)を読み出すドライブ装置が備えられていること。
当該電磁的記録を読み出すソフトウェアが備えられていること。
電磁的記録における保存性の問題
紙媒体による保存の場合は、ほぼ永久的に資料が維持できる。
ところが、電磁的記録媒体(メディア)の場合は、経年劣化が問題となる。
電磁的記録媒体は、装置の故障や記録媒体の劣化等により読み取りできなくなる可能性があるため、電磁的記録の重要性等に応じて、装置の多重化や記録媒体の劣化対策などを考慮しなければならない。
つまり保存義務期間中に文書が消失、破損しないことが求められるのである。
目的とする保存期間に応じた適切な保存環境を設定することが重要である。
通常、電磁的記録媒体には保証期限があり、その保証期限を超えない範囲での電磁的記録の保存を心掛ける必要がある。
保証期限を越える前に、新しい電磁的記録媒体への移行(マイグレーション)が必要となる。
また多くの場合、電磁的記録はコンピュータシステムに備え付けられた磁気ディスクに保存されている。
この場合、コンピュータシステムのリース切れや保守期間の満了、もしくは当該ソフトウェアの更新等により、新しいシステムに移行されることが多い。
電磁的記録を移行する際には、その真正性、見読性を確保することが必要である。
- 「真正性が確保された状態」とは、下記のことをいう。
- セキュリティで保護されている。
- 作成履歴、変更履歴がともに保存されている。
- バックアップが作成されている。
- 「見読性が確保された状態」とは、下記のいずれかまたは全部であることをいう。
電磁的記録を移行する際には、監査証跡やマスター、辞書も共に移行する必要性があるといえる。
紙の記録と違って、電子記録の場合、長期間保持し続けることは困難が伴う。なぜならば、コンピュータ化システムは、定期的にリプレースされるからである。
コンピュータ化システムのリプレース(つまり旧システムのリタイヤメント)に際しては、電子記録を維持するか、移行するか、破棄するかを決定しなければならない。
くれぐれもシステムをリプレースする際などには、まず現在保持している電子記録をどう保持し続けるかを検討することが大切である。
安易にシステムを廃棄してはならない。システム廃棄計画書を作成し、電子記録の保持方法について十分な検討を行っておく必要がある。
通常旧システムから、新システムに移行する際には、GxPデータの移行を行わなければならない。
しかしながら、いわゆる生データの移行は行っても、監査証跡を移行するケースはほとんどないのではないだろうか。監査証跡は移行しないというよりは、移行できないと言った方が正しいようである。
当該システムがGxPデータを保持している場合、廃棄は慎重に行わなければならない。
21 CFR Part 11の11.10 (c)にこういう記載がある。
「記録の保管期間を通じて記録の正確で容易な検索を可能とするような記録の保護」
つまり電子記録は保管が義務付けられている期間は廃棄することができない。またFDAの査察に対してすみやかに電子記録を検索し提示することができなければならないのである。
さらに11.10 (e)にはこういう記載がある。
「監査証跡は、少なくとも当該電子記録に要求される期間と同じ期間保管することが必要で、FDAのチェックとコピーができるようになっていなければならない。」
つまり電子記録に加えて、監査証跡もFDAが調査することがあるので、廃棄してはならないのである。
従ってシステム廃棄計画書では、監査証跡を含めたGxPデータをどのように新システムに移行させるか、または別の方法で保管するのかを決定しなければならない。
一方において、厚労省ER/ES指針の3.1.3.電磁的記録の保存性の(2)には、以下のような要件が記載されている。
「保存された電磁的記録を他の電磁的記録媒体や方式に移行する場合には、移行された後の電磁的記録についても真正性、見読性及び保存性が確保されていること。」
システム移行において、真正性、見読性及び保存性の確保は重要である。
しかしながらシステム移行において、監査証跡を移行しなかった場合、真正性が担保できなくなってしまう。
つまり監査証跡を伴わない電子記録は、作成者、作成日時、変更者、変更日時等が不明となり、なりすましや改ざん等の不正行為を発見することができなくなってしまうのである。
厚労省ER/ES指針やPart11対応において、電子記録の長期保存は技術的に困難を伴う。
FDAは、監査証跡が消去されている場合などは、査察を拒否することがある。さらにワーニングレターを発行することさえあり得るのである。
FDAは、1994年にPart11のドラフトルールを発表した際には、「本物のコピー」を保管しておくように要請していた。
つまり査察が実施されるまで、旧システムを維持することを求めていたわけである。
しかしながら、この要求について、米国の製薬会社は反発した。
旧システムを、査察のためだけに温存しておくことは極めて不合理である。
故障のリスク やメンテナンスの費用、さらにライセンス料も負担し続けなければならないからである。
製薬会社からのコメントを受け、FDAは1997年にPart11のファイナルルールを発行した際には、11.10 (b)において以下のように要求を変更した。
「FDAの査察、審査、複写に適した、人間の目で読める形と電子形式の両方で記録の正確かつ完全なコピーを作成できること。」
つまり「本物のコピー」を「正確かつ完全なコピー」に修正したのである。
FDAが電子記録の正確かつ完全なコピーを作成できるためには、旧システムから新システムに、監査証跡を含めて完全に移行しなければならないということである。
しかしながら、これにも問題がある。
同じメーカの同じソフトウェアのリプレースであれば移行が可能であろうが、メーカが違う場合にはほとんど不可能だろう。
ちなみに、旧システムを温存する方法を「タイムカプセルアプローチ」と呼び、旧システムから新システムにデータ移行する方法を「マイグレーションアプローチ」と呼ぶ。
電子記録を保持するために、タイムカプセルアプローチもしくはマイグレーションアプローチのいずれを選択するとしても問題があるといえる。
では、一体どんな方法で、この問題は解決できるのであろうか。それはデータベースのアーカイブである。
ここでアーカイブとバックアップはその目的も方法も異なるので、注意が必要である。
バックアップは、アクティブデータベースのデュプリケートであり、その目的は災害時の復旧である。
一方、アーカイブとは、ディスク容量の制約等により、古い電子記録を別の検索可能な記録媒体に移行することを指す。一般に古い電子記録は、検索する頻度も少なく、また更新はほとんど行われない。しかしながら査察時などのような場合、すみやかに適切な記録が検索できなければならない。したがって磁気テープを利用するような、バックアップではその用をなさない。
電子記録を適切にアーカイブしておけば、査察時において検索が容易であり、また監査証跡も保持される。
もちろん監査証跡を含めて検索が容易になるよう、SQL文等により検索ツールを整備しておかなければならない。
ただし、当然のことながら、アーカイブにおいてデータベースの構造や、データを変更してはならない。
また検索ツールも、データを変更できるものであってはならない。
関連VOD配信セミナー
当社VOD配信セミナーは、視聴期間および回数制限はございません。
お好きな時間に、繰り返し何度でもご視聴いただけます。
・【超入門】コンピュータバリデーション&ER/ES
セミナービデオはこちら。