【速報】FDAのCSAガイダンスのドラフトが2022年9月13日付で発出されました。
2026年最新動向アップデート(FDA CSA最終化)
本記事はFDA CSA最終化を扱ったものです。コンピュータ化システムバリデーション(CSV)の周辺規制は2022〜2026年に大きく動きました。
主要規制・ガイダンスの最新化
- ISPE GAMP 5 Second Edition(2022年7月):CSA、AI/ML(Appendix D11)、クラウド、ブロックチェーン、OSS、ALCOA+ Data Integrityを大幅追加。第1版(2008)からの大改訂。
- FDA CSA最終ガイダンス(2025年9月/2026年2月3日改訂版でQMSR整合):文書中心のCSVから、リスクベース・継続的アシュアランスへ。
- FDA QMSR施行(2026年2月2日):21 CFR Part 820がISO 13485:2016を引用組み込み。
- 21 CFR Part 11はData Integrity(ALCOA+)と組み合わせた運用が標準化。
- EU GMP Annex 11とPIC/S Annex 11も改訂作業中。
実務への含意
Data Integrity(ALCOA+)+ CSA(リスクベース検証)+ QMSR(ISO 13485:2016 + FDA追加要件)+ GAMP 5 2nd Editionの四位一体で運用設計するのが、2026年以降の標準です。
※以下は本記事のオリジナル解説です。
FDAがドラフトガイダンス「Computer Software Assurance for Production and Quality System Software」(2022年9月13日付。以下、CSAガイダンス)を公開しました。
これは医療機器の製造または品質システムの一部として使用されるコンピュータおよび自動データ処理システムのためのコンピュータソフトウェア保証に係る推奨事項を提供するものです。
CSAガイダンスは、医療機器の製造または品質システムに使用されるソフトウェアの信頼を確立し、追加的に厳密な保証を行うことが適切である場合を特定するためのリスクベースのアプローチによってコンピュータソフトウェアを評価するためのものです。
また、CSAガイダンスは21 CFR Part 820 (QSR)で求められるコンピュータソフトウェアの検証に係る要求を満たすための、客観的な証拠を提供するために適用できるさまざまな方法とテスト活動についても説明しています。
最終化されたCSAガイダンスは、FDAガイダンス“General Principles of Software Validation”(2002年1月発行。以下、GPSVガイダンス)を補足するものとなります。
CSAガイダンスはソフトウェアバリデーションの原則をすべて説明することを意図したものではありません。
FDAはGPSVガイダンスにおいて、ソフトウェアライフサイクルの一部として変更管理を実施することを含め、ソフトウェアバリデーションの原則を概説しています。
CSAガイダンスは、GPSVガイダンスで説明されているソフトウェアバリデーションへのリスクベースのアプローチについて、医療機器の製造または品質システムに使用されるソフトウェアに適用するものです。
CSAガイダンスが最終化された暁には、GPSVガイダンスのセクション6「VALIDATION OF AUTOMATED PROCESS EQUIPMENT AND QUALITY SYSTEM SOFTWARE」(自動化されたプロセス機器及び品質システムソフトウェアの検証)を置き換えるものとなります。
なお、CSAガイダンスは、医療機器に組み込まれるソフトウェア (software in a medical device, SiMD)および医療機器としてのソフトウェア(software as a medical device, SaMD)に係る設計バリデーション(QSR §820.30による要求)には適用されません。
CSAガイダンスの目次は以下です:
1. Intoroduction(導入)
2. Background(背景)
3. Scope(適用範囲)
4. Computer Software Assurance(コンピュータソフトウェア保証)
5. Computer Software Assurance Risk Framework(コンピュータソフトウェア保証のリスクフレームワーク)
A. Identifying the Intended Use(意図する使用を特定する)
B. Determining the Risk-Based Approach(リスクベースアプローチを決定する)
C. Determining the Appropriate Assurance Activities(適切な保証活動を決定する)
D. Establishing the Appropriate Record (適切な記録を確立する)
Appendix A. Examples (例)
Example 1:Nonconformance Management System (不適合マネジメントシステム)
Example 2:Learning Management System(LMS)(ラーニングマネジメントシステム)
Example 3:Business Intelligence Applications (ビジネスインテリジェンスアプリケーション)
CSAガイダンスでは、コンピューター ソフトウェアの使用目的の評価、製造または品質システムの一部であるソフトウェアのリスクベース分析の使用によって、
特定したリスクレベルに基づいて適切な保証活動を特定し、システムが意図したとおりに動作していることを文書化するための記録の作成を含むコンピュータソフトウェア保証のリスクフレームワークについて概説しています。
CSAガイダンスではプロセスリスクを「高いプロセスリスク(high process risk)」および「高くないプロセスリスク(not high process risk)」に分類し、それぞれの例について紹介しています。
そして、プロセスリスクの分類に応じて使用され得るコンピュータソフトウェア保証方法についても紹介しています。
さらに、コンピュータソフトウェア保証が確立されていることの客観的な証拠として十分と認められる記録の作成に関する事項についても、CSAガイダンスに記述されています。
