ER/ES実践講座(第5回) ERESガイドラインの考察 (その3)

ER/ES実践について研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

ERESガイドラインの考察 (その3)

1. はじめに

FDAによる21 CFR Part 11(以下、Part11)とERESガイドラインは、基本的には電子記録と電子署名の信頼性を確保するという観点では方向性が一致している。
しかしながらPart11とERESガイドラインでは、類似点も多いが、用語の定義など根本的な違いがみられる。
クローズド・システムとオープン・システムの定義などは、Part11とERESガイドラインで同じである。
ところが電子署名に関する定義は異なる。このことはEDCシステムによって症例報告書を電子化(すなわちペーパーレス化)する際などに問題が出る可能性がある。
電子署名の技術の一つであるデジタル署名は、まだ国際的な標準やデファクトスタンダードがない。
ERESガイドラインが発出されて3年が過ぎたが、完全なペーパーレス化にはまだ課題が残っているといえる。

2. 電磁的記録利用のための要件
2.1 クローズド・システムの利用
3.2. クローズド・システムの利用
電磁的記録を作成、変更、維持、保管、取出または配信をするためにクローズド・システムを利用する場合は、3.1に記載された要件を満たしていること。また、電子署名を使用する場合には、4.に記載された要件を満たしていること。

電磁的記録を作成したシステム内で当該電磁的記録を維持管理する場合をいう。
その場合、セキュリティと監査証跡機能により、電磁的記録の真正性を確保することができる。
つまり本人性の証明と非改ざん証明が可能である。
ここでいう取出とは、電磁的記録媒体に保存していた電磁的記録を検索・抽出し、当該システムのディスプレイ上に表示または印刷することをいう。
ちなみにPart11ではRetrieveという用語を用いている。

2.2 オープン・システムの利用
3.3. オープン・システムの利用
電磁的記録を作成、変更、維持、保管、取出または配信をするためにオープン・システムを利用する場合は、3.1に記載された要件に加え、電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施すること。追加手段には、電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる。さらに、電子署名を使用する場合には、4.に記載された要件を満たしていること。

電磁的記録をあるシステムから別のシステムへCD-Rなどの電磁的記録媒体やオープンなネットワークなどを介して移動させるような形態をオープン・システムと呼ぶ。
つまりクローズド・システムと別のクローズド・システムをネットワーク等により接続した形態のことである。
従ってオープン・システムという「システム」が存在するものではない。
電磁的記録を当該システムからオープンな環境に送信したり、CD-Rなどの電磁的記録媒体を介して受け渡す場合、電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施する必要がある。
これまでに解説した通り、電磁的記録を作成したシステムでは、当該電磁的記録にコンテキストが付けられている。
例えばドキュメント管理システムなどのようなシステムの場合、コンテキストは当該電子文書とは別にリレーショナルデータベースに記録されている。
この場合、電子文書を別のシステムに送信する際、どのようにコンテキストを共に当該電子文書に付加させるかが問題となる。
コンテキストを共に正確に送信しなければ、作成者・作成日・承認者・承認日などの情報が欠落し、当該電子文書の真正性は確保できないこととなる。
しかしながらオープンな環境において、これらコンテキスト情報を当該電磁的記録に確実にリンクさせて送信することは困難である。従ってオープンな環境において真正性を確保するためには、デジタル署名などの技術を利用しなければならない。
さらにインターネットなどのオープンな環境では、盗聴・改ざん・成りすましといったリスクが考えられ、これらリスクにも対応しなければならない。
盗聴を防止するためには、電磁的記録の暗号化が有効である。
また改ざん・成りすましの発見には、デジタル署名の利用が有効である。

3. 電子署名利用のための要件
3.1 電子署名とは

電子署名は、電子文書の正当性を保証するために付けられる署名情報のことである。
紙の書面には捺印ができるが、電子文書には捺印ができないため、電子署名を捺印に相当すると法的に認めたものである。
電子署名とデジタル署名を混同してしまいがちである。
電子署名は、文字や記号、マークなどを電子的に表現して署名行為を行なうこと全般を指す。
特に、公開鍵暗号方式を応用して、文書の作成者を証明し、かつその文書が改ざんされていないことを保証する署名方式のことを「デジタル署名」と言う。
すなわち、電子署名とは「行為」のことであり、デジタル署名は行為を行う際に利用する「技術」のことである。
厚生労働省令第44号の第七条(作成において氏名等を明らかにする措置) にはこうある。
「別表第二の下欄に掲げる書面の作成において記載すべき事項とされた記名押印に代わるものであって、法第四条第三項 に規定する主務省令で定めるものは、電子署名(電子署名及び認証業務に関する法律 (平成十二年法律第百二号)第二条第一項 の電子署名をいう。)とする。」
つまり書面において記名・押印または署名を付さなければならない場合、当該書面を電磁的記録によって作成する場合、電子署名法に基づく電子署名を付さなければならない。
電子署名法に基づく電子署名とは、以下の2つ要件に該当するものをいう。

  1. 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
  2. 当該情報について改変が行われていないかどうかを確認することができるものであること。

1.は本人性の証明であり、2.は非改ざん証明である。 さらに電子署名法では、電子署名は主務大臣が認定した特定認証局(CA)の認証を伴うものでなければならない。 これは書面における実印に相当する。つまり電子署名法では、いわゆる三文判は存在しないことになるのである。

3.2 日米における電子署名の定義の違い

多くの人が誤解しているのが「Part11とERESガイドラインの電子署名は同じだ。」ということである。
実はERESガイドラインの電子署名の定義とPart11の電子署名の定義は異なる。
ERESガイドラインでは、4.(1)で「電子署名及び認証業務に関する法律(平成12年5月31日法律第102号)に基づき、電子署名の管理・運用に係る手順が文書化されており、適切に実施していること。」と記載されており、電子署名法でいう電子署名と定義が同じであることがわかる。
一方、Part11では、ユーザIDとパスワードの組合せまたはバイオメトリックスにより、真の所有者のみが行える行為を電子署名と定義している。この方法では、上述した2つの要件のうち1)の本人性の証明しか満たせない。つまりPart11の定義する電子署名では、2)非改ざん証明ができない。
Part11では、電子署名の実現にあたって、識別コード(いわゆるユーザ名)とパスワード組合せまたはバイオメトリックス(生体認証)の運用を求めている。
したがって製薬企業内において「電子署名」という用語を使用する場合、電子署名法や厚生労働省令第44号やERESガイドラインの定義を使うか、Part11の定義を使うかを明確にしておかなければならない。
ちなみにPart11では、電子署名の運用にあたって下記のような要件を定めている。

  1. (写真入のIDなどを用いて)個人の本人確認を行う。 §11.100(b)
  2. FDAに対して(CEOから)電子署名を利用することの宣誓書を提出する。 §11.100(c)
  3. 個人の教育(パスワードを漏洩しないなど)を徹底する。 §11.10(i)
  4. 電子署名を使用する個人に責任と義務を負わせる方針書を作成し遵守させる。(誓約書を書かせる) §11.10(j)

などである。
これらは電子署名に関して、事後否認をさせない等、信頼性を確保するための措置である。

3.3 電子署名利用の問題点

現在の技術では、電子署名法に基づく電子署名、すなわち「本人性の証明」と「非改ざん証明」が行えるものはデジタル署名しかないと思われる。
通常、電子署名を伴う電子文書を保存する場合は、pdfフォーマットを利用する。
なぜならばpdfではデジタル署名を同一ファイルに埋め込むことができ、送信などの際にリンクが切れないからである。
現在のところMS-Word等では、デジタル署名を埋め込むことができないことから、リンクが切れないという保証が困難である。
電子署名は、特定認証局(CA)による電子証明書を伴わない場合、当該情報が当該措置を行った者の作成に係るものであること証明することができない。
電子署名法では、電子署名は特定認証局の認証を伴わなければならないが、現実にはすべての電子文書に対して実施することは難しい。
電子署名は紙社会における印鑑に相当する。紙社会においても、書面の重要性に応じて、三文判でも良いのか、実印が必要なのかが変わってくる。
電子の世界でも同様のことが言える。電子文書の重要性に応じて、特定認証局(CA)の認証(電子証明書)を伴う電子署名(つまり実印に相当する)を利用するのか、独自に作成したIDとパスワードを利用する形式の電子署名(つまり三文判に相当する)で済ませるのかを判断すれば良いことになる。
当然のことながら副作用の電子報告に見られるように、規制当局がCAの認証を伴う電子署名(実印)を求めている場合は、それに従わなければならない。
ERESガイドラインにおける「電子署名」の利用においては、その「電子署名」の意味合いやレベルを事前に定義しておき、適切な「手順書」を作成しておくことが必要である。

4.電子署名利用のための要件
電子署名を利用する場合は、電子署名の信頼性を確保するために、以下の要件を満たすこと。

「電子署名を利用する場合」とあるが、どんな場合に電子署名を利用しなければならないかというと、記名・捺印または署名が義務付けられている文書や記録を、書面での作成に代えて電磁的記録により作成し保存する場合である。
すなわちペーパーレスを実現する際に必要となる。
電磁的記録は利用するが、最終的に紙に印刷したものに記名・捺印または署名を行い、これまでどおり書面により保存する場合(いわゆるハイブリッドシステム)には、電子署名は必要ではない。

4.電子署名利用のための要件
(1)電子署名及び認証業務に関する法律(平成12年5月31日法律第102号)に基づき、電子署名の管理・運用に係る手順が文書化されており、適切に実施していること。

「電子署名及び認証業務に関する法律」(電子署名法)は、インターネットを活用した電子商取引等ネットワークを通じた社会経済活動の円滑化を図ることを目的として平成12年5月に成立し、平成13年4月1日(一部規定は同年3月1日)から施行されている。
電子署名法の概要は以下のとおりである。

  1. 電磁的記録の真正な成立の推定
    電磁的記録(電子文書等)は、本人による一定の電子署名が行われているときは、真正に成立したものと推定する。
    すなわち手書き署名や押印と同等に通用する法的基盤を整備したのである。
  2. 認証業務に関する任意的認定制度の導入
    認証業務(電子署名が本人のものであることを証明する業務)のうち、法律で定める一定の基準(本人確認方法等)を満たす業務を主務大臣(総務大臣、法務大臣、経済産業大臣)が認定できることとし、認定を受けた業務についてその旨の表示ができるほか、認定の要件、認定を受けた者の義務等を定める。
    すなわち認証業務における本人確認等の信頼性を判断する目安を提供したのである。
  3. 指定調査機関制度の導入
    主務大臣は、認証業務の認定に際して、認定の基準に適合していることを確認するために実地の調査を行うものとし、当該調査は、主務大臣が指定する者(指定調査機関)に行わせることができる。

一般に企業内で利用される電子署名に対して、特定認証局の認証を得る必要は無い。

4.電子署名利用のための要件
(2)電子署名は、各個人を特定できる唯一のものとし、他の誰にも再使用、再割当しないこと。

各個人を特定するには、「識別コード」+「パスワード」の組み合わせか、バイオメトリックス(生態認証)を用いることになる。
Part11では、バイオメトリックスの利用に関して記述があるが、ERESガイドラインには見当たらない。
他の誰にも再使用、再割当しないとは、同じ「識別コード」を他人にも使用させたり、パスワードをばらしてしまうことなどの行為を指している。
バイオメトリックスは、「識別コード」+「パスワード」に比べて、他人に悪用されたり、再利用される危険性は少ない。しかしながら、個人情報保護法などにより、個人のプライバシーには十分に配慮しなければならない。システムにバイオメトリックスのような個人の身体的特徴を登録すると、人事部門でもない情報システム担当者がその内容を見ることが可能になる可能性があるからである。

4.電子署名利用のための要件
(3)電磁的記録による資料について電子署名を使用する場合は、署名された電磁的記録には以下の全項目を明示する情報が含まれていること。
・ 署名者の氏名
・ 署名が行われた日時
・ 署名の意味(作成、確認、承認等)

「署名者の氏名」は、書面における記名(Print name)に相当する。
「署名の意味」は、書面においては作成者欄、確認者欄、承認者欄等、サインする位置によって識別できることに相当する。
これらの項目は、電磁的記録に対するのと同様の管理が行われる必要があり、またディスプレイへの表示や印刷ができるよう、見読性を確保しなければならない。
署名の意味については、Part11では「レビュ、承認、責任、署名者」となっている。

4.電子署名利用のための要件
(4)電磁的記録に付された電子署名は、不正使用を防止するため、通常の方法では削除・コピー等ができないように、対応する各々の電磁的記録とリンクしていること。

前号で紹介した「EDCモデル」の場合、この要件を満たすことはさほど困難ではない。
一方「eCTDモデル」の場合、電子署名を付す電磁的記録はpdf形式を選択しなければならない。
なぜならばpdfでは、電子署名やタイム・スタンプを同一ファイルに埋め込むことができ、コピーや送信によってリンクが切れることはないからである。
現在の技術では、wordやexcelでは電子署名を同一ファイルに埋め込めないため、送信などの際に電子署名とのリンクが切れる可能性がある。
「通常の方法」とは、システムの機能を利用してということを指す。
つまり、システム管理者が特権を使えば、電磁的記録に直接アクセスし、不正を行うことができる可能性がある。これに関しては、十分に教育・指導すること以外に防ぐ方法は無いのである。
他人が勝手に署名を削除できてはいけないし、またコピーしてもいけないのは当たり前である。

ところでPart11では、手書き署名であっても電子記録とリンクすることを求めている。
いわゆる「ハイブリッド・システム」(電子記録+手書き署名)の利用の際についてである。
実はこれは非常に困難である。
しかしながら、まわりを見渡せば、ほとんどがハイブリッドシステムであり、いかに電子記録と手書き署名をリンクするかという難題が立ちはだかる。
ERESガイドラインでは、ハイブリッドシステムに関して言及していない。
上述したとおり、業務に利用しているほとんどのシステムはハイブリッドである。
むしろ電子署名を利用しているシステムの方がまだまだ希少である。

4. その他
5.その他
医薬品等の承認又は許可等並びに適合性認証機関の登録等に係る申請等に関する資料及び原資料について電磁的記録及び電子署名を利用しようとする者は、電磁的記録及び電子署名の利用のために必要な責任者、管理者、組織、設備及び教育訓練に関する事項を規定しておくこと。

「利用しようとする者」とは、企業のトップつまり社長を指している。
ERESガイドラインは、社長以下、経営者の指導の下、全社的な対応実施が望まれる。
「責任者」とは、社長以下、企業の経営層を指していると考えられる。または経営層から権限委譲された者である。
「管理者」とは、電磁的記録や電子署名を実際に管理する者(データのオーナ)、すなわち各部門の長を指すものと考えられる。ここで注意が必要なのは、管理者は決してシステムの管理者ではなく、データ(電磁的記録および電子署名)の管理者であるということである。
「組織」は、責任者、管理者を含み、ERESガイドラインを遵守するための文書を作成・維持または業務を監督する部門、システムを維持管理する部門、システムを利用するユーザ部門などの組織を指すと考えられる。
「設備」とは、コンピュータシステム、分析機器等のハードウェアとソフトウェア、システムを利用するための標準業務手順書およびシステム管理者を含むと考えられる。
「教育訓練」は、教育と訓練に分けて理解する必要がある。
教育は「入門教育」「新人教育」などのEducationが相当する。
また訓練は、当該業務に特化し、業務を実際に体験しながら覚える「OJT」や「継続教育」などのTrainingが相当する。

5. おわりに

標準業務手順書等を作成する際に、ERESガイドラインの正確な条文解釈は必須である。
しかしながら、ERESガイドラインは難解である。
また外資系企業やグローバル化を行う製薬企業にとっては、Part11とERESガイドラインの双方に遵守することが求められる。
しかしながらPart11とERESガイドラインの要件が完全に一致しない以上は、ダブルスタンダードという問題が発生する。
次回は、ERESガイドライン対応のための課題と問題点を整理する。

参考

関連記事一覧