レガシーシステムとは
医薬品業界や医療機器業界において、「レガシーシステム」という言葉を耳にする機会が増えている。特にFDA(米国食品医薬品局)の規制対応において、このレガシーシステムの扱いは企業にとって重要な課題となっている。経済産業省が2018年に提唱した「2025年の崖」によれば、2025年までに日本国内のITシステムの約60%が導入から20年以上経過すると警告されており、製薬業界も例外ではない。本稿では、Part 11施行から約28年が経過した現在において、レガシーシステムの定義と、FDAがこれに対してどのような規制姿勢を取っているのかについて、実務的な視点から解説していく。
レガシーシステムの定義
FDA規制における位置づけ
レガシーシステムとは、FDA 21 CFR Part 11(電子記録・電子署名に関する規制)が施行された1997年8月20日以前から既に稼働していたコンピュータシステムを指す。
FDAの2003年ガイダンス「Part 11, Electronic Records; Electronic Signatures — Scope and Application」では、レガシーシステムを「systems already in operation before the effective date of part 11」と定義している。これらのシステムは、Part 11の要件が定められる前に設計・導入されたため、当初から規制要件を満たすことを前提として構築されていない。
具体的には、以下のようなシステムが該当する可能性がある。1990年代に導入された製造実行システム(MES)で、電子署名機能を持たないもの、古い世代のクロマトグラフィーデータシステム(CDS)で、監査証跡機能が限定的なもの、Part 11施行前に構築された品質管理データベースで、アクセス制御が現行基準を満たさないものなどである。
技術的特徴
レガシーシステムには、技術的に以下のような特徴が見られることが多い。オペレーティングシステムが古く、現代のセキュリティ標準に対応していない、監査証跡機能が不十分または全く存在しない、電子署名機能が未実装または暗号化技術が旧式である、ユーザー認証機構が単純で多要素認証などに対応していない、データのバックアップやリカバリー機能が限定的であるといった点である。
FDAのレガシーシステムに対する規制姿勢
Part 11要件に対する執行裁量
FDAのレガシーシステムに対する姿勢を理解する上で最も重要なのが、2003年8月に公表された「Part 11, Electronic Records; Electronic Signatures — Scope and Application」ガイダンスである。このガイダンスは現在も有効であり、FDAのPart 11に対する執行方針の基礎となっている。
この2003年ガイダンスにおいて、FDAは特定の条件を満たすレガシーシステムに対して「enforcement discretion(執行裁量)」を行使すると明記している。具体的には、以下の4つの条件を全て満たす場合、Part 11の全ての要件について執行措置を取らないとしている。
- 第一に、そのシステムが施行日(1997年8月20日)以前から稼働していたこと。
- 第二に、施行日以前に全てのpredicate rule要件(後述)を満たしていたこと。
- 第三に、現在も全てのpredicate rule要件を満たしていること。
- 第四に、そのシステムが意図された用途に適合していることの文書化された証拠と正当化があること。
この執行裁量は「免責」とは異なる概念である。Part 11は法的に依然として有効であり、FDAはいつでも執行裁量の方針を変更する可能性がある。しかし、現時点では上記4条件を満たすレガシーシステムに対してPart 11の技術要件(電子署名、監査証跡等)の執行を行わないという方針が維持されている。
Predicate Rule要件は例外なく適用
重要なのは、Part 11の技術要件については執行裁量が適用される一方で、predicate rule(前提規則)の要件は一切免責されないという点である。
Predicate ruleとは、Part 11以前から存在する基本的な規制要件を指し、具体的にはCGMP(医薬品製造管理および品質管理基準)、GCP(医薬品の臨床試験の実施基準)、GLP(医薬品の安全性試験の実施基準)などの規則である。これらの規則は、記録の正確性、完全性、信頼性、そして検査時に利用可能であることを要求している。
例えば、1995年に導入された製造管理システムで記録された製造ロット情報が、現在も製品トレーサビリティの根拠として使用されている場合、Part 11の電子署名要件については執行裁量が適用される可能性がある。しかし、CGMPが求めるデータの正確性、完全性、改ざん防止については、現行の基準で完全に遵守しなければならない。FDAは「古いシステムだから」という理由で、これらの基本的な品質要件を容認することは決してない。
システム変更時の注意点
なお、1997年8月20日以降にシステムに変更が加えられ、その変更によりpredicate rule要件を満たさなくなった場合は、執行裁量の対象外となり、Part 11の管理策を完全に適用する必要がある。つまり、レガシーシステムであっても、大幅な改修を行った場合には、もはや「レガシー」としての特例的扱いを受けられなくなる可能性がある。
リスクベースアプローチの重要性
リスク評価に基づく対応
FDAは、レガシーシステムに対してもリスクベースアプローチを適用することを推奨している。システムが古いという事実そのものではなく、そのシステムが製品品質や患者安全性に与えるリスクの大きさに応じて、対応の優先順位を判断すべきという考え方である。
高リスクなシステム、例えば無菌製剤の製造記録を管理するシステムや、臨床試験の重要なデータを扱うシステムについては、レガシーであっても早急な対応が求められる。一方、製造現場から離れた管理業務用のシステムであれば、相対的に優先度を下げることが可能である。
ただし、これは対応の優先順位付けを意味するものであり、最終的にはpredicate rule要件を満たす必要があることに変わりはない。リスク評価を適切に実施し、そのリスクに見合った管理策を文書化し、正当化することが求められる。
実務的な対応アプローチ
ステップ1:現状評価とギャップ分析
まず、自社のレガシーシステムを特定し、Part 11要件とpredicate rule要件との差異を明確にする必要がある。この際、システムが管理するデータの種類と重要性の特定、現行のセキュリティ機能と監査証跡機能の確認、ユーザーアクセス管理の現状評価、データバックアップとディザスタリカバリー体制の確認といった観点で評価を行う。
特に重要なのは、Part 11の技術要件とpredicate ruleの基本要件を区別して評価することである。前者については執行裁量の適用可能性を検討し、後者については確実な遵守を確認する。
ステップ2:リスク評価と優先順位付け
ギャップ分析の結果に基づき、各システムのリスクレベルを評価する。患者安全性への影響、製品品質への影響、規制当局の指摘を受けた場合のビジネスインパクトなどを総合的に考慮し、対応の優先順位を決定する。
このリスク評価は文書化し、なぜそのシステムが意図された用途に適合しているのかを正当化する根拠とする。これは、2003年ガイダンスが求める4つ目の条件「文書化された証拠と正当化」を満たすために不可欠である。
ステップ3:段階的な改善計画の策定
全てのレガシーシステムを一度に更新することは、資源やリスクの観点から現実的ではない場合が多い。リスク評価に基づいて、段階的な改善計画を策定することが重要である。
短期的対応として手順書による管理強化やペーパーベースの記録との併用でpredicate rule要件を補完する、中期的対応としてシステムの部分的な機能強化や外部ツールとの連携を実施する、長期的対応として新システムへの完全な移行を計画するといったアプローチが考えられる。
重要なのは、Part 11の技術要件は執行裁量の対象となり得るが、predicate ruleの基本要件は常に満たされていなければならないという点である。改善計画においても、この区別を明確にしておく必要がある。
ステップ4:継続的なモニタリングと文書化
対策を実施した後も、システムの状態を継続的にモニタリングし、predicate rule要件が維持されていることを確認する必要がある。また、システムが意図された用途に適合していることを示す文書(バリデーション記録、変更管理記録、定期レビュー記録など)を適切に維持することが重要である。
データインテグリティへの注目の高まり
規制当局の継続的な重視
近年、FDAをはじめとする規制当局は、データインテグリティ(データ完全性)に対する監視を強化している。FDAは2018年12月に「Data Integrity and Compliance With Drug CGMP: Questions and Answers」ガイダンスの最終版を公表し、CGMPにおけるデータインテグリティの重要性を明確化した。
さらに、2024年4月にはBA/BE(生物学的利用能/生物学的同等性)試験に特化した新規のドラフトガイダンス「Data Integrity for In Vivo Bioavailability and Bioequivalence Studies」が公表された。これは特定分野に限定されたものであるが、FDAのデータインテグリティへの継続的な関心を示している。
レガシーシステムにおいても、このデータインテグリティの原則は適用される。特にALCOA+の原則(Attributable:帰属性、Legible:判読性、Contemporaneous:同時性、Original:原本性、Accurate:正確性に加えて、Complete:完全性、Consistent:一貫性、Enduring:永続性、Available:利用可能性)は、システムの新旧を問わず遵守すべき基本要件である。
準備すべきこと
今後に向けて企業が準備すべきことは以下の通りである。
社内教育の実施によりレガシーシステムのリスクとpredicate rule要件の重要性について全社的な理解を深めること、2003年ガイダンスの内容を正確に理解し、執行裁量が適用される条件を満たしているかを確認すること、データインテグリティの原則に基づいたシステム運用を確立し文書化すること、規制動向の継続的なモニタリングにより要求事項の変化に迅速に対応できる体制を整えることが求められる。
まとめ
レガシーシステムとは、Part 11施行(1997年8月20日)前から稼働していたシステムを指すが、FDAの対応は単純な「免責」ではなく、条件付きの「執行裁量」である。重要なのは、Part 11の技術要件とpredicate ruleの基本要件を明確に区別して理解することである。
FDAは2003年ガイダンスにおいて、4つの条件を満たすレガシーシステムに対してはPart 11要件の執行を行わないとしている。しかし、CGMP等のpredicate rule要件については一切の例外を認めていない。つまり、電子署名や監査証跡といった技術的な機能については執行裁量が適用される可能性があるが、データの正確性、完全性、信頼性といった基本的な品質要件は、システムの新旧を問わず完全に遵守しなければならない。
重要なのは、レガシーシステムの存在を正しく認識し、2003年ガイダンスの要件に基づいて文書化と正当化を行い、リスクベースで優先順位をつけながら段階的に改善を進めていくことである。完璧なシステムへの一足飛びの移行ではなく、predicate rule要件を確実に満たしながら着実に改善を積み重ねることこそが、規制対応と事業継続の両立を実現する鍵となるであろう。技術の進化と規制要件の変化に柔軟に対応しながら、患者の安全性を守り続けることが、医薬品・医療機器業界に携わる全ての企業の責務である。
