2016年05月
2016年05月30日
こんにちは
私事ですが、
『トマトのアイコ始めました!』
収穫時期が遅れてしまった去年の反省を生かし、今年は早めに取り掛かろうと思い続けて早や五月も終わり、、、完全に乗り遅れてしまった感があったのですが、、、
花つき苗購入!という荒技で大逆転
アイコの収穫が今から楽しみです。
さて、本日も前回に引き続き、イギリスMHRA(※1)のGLP(※2)査察事情です。
今回は筆者のご紹介と今回の記事の背景についてです。
★★★ ここから mhrainspectorate.blog.gov.uk の翻訳です ★★★
<2014年 MHRA GLP査察解析結果>
筆者Martin Reed 2016年4月6日
まず初めに、私のことをご存じない方もいらっしゃるかと思いますので自己紹介をします。
私はMartin Reedと申します。
私は2015年にGLP査察官としてMHRAに加入しました。
ざっと見積もると、これまでに査察対象施設のおおよそ20%を調査してきました。
私は最近、2014年1月から12月のGLP査察解析結果を報告書としてまとめ上げました。
皆様にとってこの報告書が有用であると知ってもらい、自施設での査察結果がイギリスにおけるGLP施設全体の査察結果比較してどうであるかを把握するのに役立ててもらえれば幸いです。
ここからの数章で、私たちがこの情報を基に何をし、調査対象期間にどのような重大な指摘事項があったのかを詳しくご紹介していこうと思います。
<つづく>
★★★ mhrainspectorate.blog.gov.uk の翻訳ここまでです ★★★
個人的に翻訳したものなので、誤りがありましたら申し訳ございません。
読者の皆さまご本人の責任でご判断をお願いします。
情報元:イギリスMHRAのHPより
https://mhrainspectorate.blog.gov.uk/2016/04/06/mhra-%e2%80%8eglp-inspection-metrics-2014/
※1:
MHRAとは、
イギリスの医薬品・医療製品規制庁
※2:
GLPとは、
Good Laboratory Practiceの略。
「医薬品の安全性に関する非臨床試験の実施の基準に関する省令」
詳しくはこちら
2016年05月26日
こんにちは
今日から心機一転、新しいシリーズを始めます。
今回は初心に戻って(?)GLP(※1)に関する海外の記事を取り上げてみます。
最近はGMPとかGDPとかばかりが気になってしまっているのですが、たまには懐かしい気分で以前従事していたGLPを思い出してみるのもいいかなと思い、今回挑戦することにしました。
今回の海外の記事は、イギリスの査察当局であるMHRA(※2)のホームページで公開されているGLP査察官のブログです。
ちょっと古いですが2014年のGLP査察の指摘事項をまとめた資料が最近出来上がったようで、査察官が直々にその資料の活用の仕方を教えてくれています。
シリーズの後半では、その資料の内容もご紹介できればと思っていますので、お楽しみにお待ちください。
まず本日は、序章のご紹介です。
★★★ ここから mhrainspectorate.blog.gov.uk の翻訳です ★★★
<2014年 MHRA GLP査察解析結果>
筆者Martin Reed 2016年4月6日
GLPMAのホームページでは、最近2つの資料が追加されました。
2014年査察の解析結果のサマリと当局の調査対象ではない試験施設に関するガイダンス文書です。
後者の資料は、当ホームページのメールボックスや最近のGLPシンポジウムで数多く挙げられた質問の回答として作成されました。
2つの資料とも、MHRAのホームページから見ることができます。
<つづく>
★★★ mhrainspectorate.blog.gov.uk の翻訳ここまでです ★★★
個人的に翻訳したものなので、誤りがありましたら申し訳ございません。
読者の皆さまご本人の責任でご判断をお願いします。
情報元:イギリスMHRAのHPより
https://mhrainspectorate.blog.gov.uk/2016/04/06/mhra-%e2%80%8eglp-inspection-metrics-2014/
※1:
GLPとは、
Good Laboratory Practiceの略。
「医薬品の安全性に関する非臨床試験の実施の基準に関する省令」
詳しくはこちら
※2:
MHRAとは、
イギリスの医薬品・医療製品規制庁
2016年05月23日
こんにちは
先週、東京ビッグサイトで開催されていた「Japan IT Week」というITの展示会に行ってきました。
今回の目的は二つ。
一つ目は、ノベルティ(お土産)収集です。今回は、どちらかというとお菓子系が多かったような気がします。お菓子を配る会社さんが増えたのか、私がお菓子にばかり手を出していたのか、今となってはどちらが正解なのか知る由もありません。
そしてもう一つは、ERES指針やPart11対応でもやはり最終的にはセキュリティ対策をしっかりしなければならないということで、おもしろそうな技術はないかな~という情報収集です。
最近はマイナンバー漏えい対策で世間でもセキュリティ対策が盛んになってきているようで、いろいろな会社さんが力を入れていました。
ERES指針やPart11対応としては、漏えい防止よりも改ざん防止の方が重要となるので少し目的は違ってしまいますが、ログ収集ソフトなんかは監査証跡としてもで使えるのではないかなと思って、注目してみてきました。
今では複数のシステムで収集したログを統合管理できるソフトもいろいろ出てきているようです。
ERES指針やPart11対応の観点からは、ログ専用の管理システムでまとめて管理することにより、データ移行の際に監査証跡の移行漏れを心配することもなくなりそうです。さらに、リアルタイムでログを収集することもできるので、ログに対する改ざんを防ぐことも可能になります。
また、あるユーザの一連の作業を時系列で確認することができるので、「Aシステムの製造記録を確認してからBシステムで承認」という複数のシステムにまたがる作業を、手順通りに実施したことを客観的に示すことができるようにもなります。
ER/ES対応でお困りの会社さんは、ぜひこのようなシステムの導入もご検討してみてはいかがでしょうか。
2016年05月19日
こんにちは
さて、Part11とERES指針のシリーズも今回が最後です。
今回はPart 11で求められている電子署名の運用要件を見ていってみます。
<運用要件>
- 電子署名は、ユーザ毎に割り当てられ、他のユーザに再割り当てしないこと
- 電子署名は、本人確認された個人に割り当てること
- 電子署名が手書きの署名と同等の法的拘束力を有することを証明すること(SOPで定義する等)
- 電子署名を他の人が使用できないように管理すること(離席時のログオフ、パスワードの隠匿等)
- 電子署名は本人のみが使用すること(パスワードの共有禁止等)
- バイオメトリクスによる署名の真正性を保証(バリデーション)すること
- IDとパスワードを他のユーザに再割り当てしないこと
- IDとパスワードを定期的にチェックすること(不要IDの確認等)
- パスワードが漏えいした場合の手順を構築すること
- ID/パスワードが不正に使用された場合は直ちに無効化すること
- パスワードを生成するトークン等に対しては、導入時テスト及び定期テストを実施すること
本日を持ちまして、Part 11とERES指針のご紹介は終了となります。まだまだお伝えしきれていないこともあるような気がしますが、今後は思いついた時にポツポツと記事にしていこうと思います。
皆様のリクエストにもお応えしますので、わかりにくかったり、もう少し詳しく知りたいということがありましたら、ぜひご連絡ください。お待ちしています。
<完>
2016年05月17日
こんにちは
さて、前回は厚生労働省ERES指針での「電子署名」に対する要件4つをご紹介しました。
これら4つの要件については、アメリカFDAのPart 11でも同様に求められています。さらに、Part 11では、電子署名に対して細かい要件がいろいろと挙げられていますので、今回はそれらをざっと見ていきたいと思います。
結構細かい要件となっていますので、Part 11対応が必要なシステムを導入する際は対応漏れがないように、前回の4つの要件に加えて、今回の要件も必ず目を通しておいていただきたいと思います。
ここでは、システムが実装すべき機能要件と、運用時に対応すべき運用要件にわけ、まずは機能要件について見てみます。
<機能要件>
- 電子署名は、ユーザ毎に割り当てられ、他のユーザが使用できないようになっていること
- 電子署名は、IDコードとパスワードの組み合わせなど、2つの識別構成要素を採用すること(ただし、バイオメトリクス(※1)は除く)
- 同じ人が連続で署名をする場合、初回の署名は2つの構成要素を使用すること
- 同じ人が連続で署名をする場合、2回目以降は少なくとも1つの構成要素を使用すること
- 電子署名の構成要素はその人だけが利用できること(自動スクリーンロック機能等)
- バイオメトリクスを用いた署名は、本人以外使用できないようになっていること
- パスワードとIDの組み合わせは唯一の個人に割り当てられること(ID無効後も再割り当て不可)
- パスワードは定期的に変更されるようになっていること
- IDやパスワードを漏えいした場合は、直ちに無効化できること
- IDやパスワードの不正使用対策の機能を実装すること(ログイン失敗時ロックアウトや監査証跡の記録等)
- IDやパスワードの不正使用検知後、直ちに管理者へ通報されること
つづく
※1:
バイオメトリクス(生体認証)とは、個人の身体的な特徴あるいは反復可能な行為を測定することにより本人であることを検証する方法(指紋認証、静脈認証など)
2016年05月09日
こんにちは
あっという間にゴールデンウィークも終わってしまいましたね。
今週は月曜日からフルで5日間勤務です
ブログを書きながら、徐々にペースを取り戻していけたらと思います。
さて、前回までで電子記録の3大要件「真正性、見読性、保存性」についてご紹介が終わりましたので、今回からはERESのESの部分、「電子署名」の要件について見ていきたいと思います。
厚生労働省のERES指針では、電子署名を利用する場合の要件として4つ挙げられています。
①電子署名の管理・運用の手順書を作成すること
電子署名の利用者に、手書きの署名と同等であることを理解してもらいます。
②電子署名は本人のみが使用できること
最低限、IDとパスワードの組み合わせで、本人のみが署名できるようになっていなければなりません。
もちろん、パスワードをみんなで使いまわすなんてことはあってはなりません。
その他、連続して署名する時はどうするとか、離席時の対応とか、機能面や運用面でなりすましの対策が必要です。
③電子署名には署名者の氏名、署名日時、署名の意味(作成、確認、承認等)の情報を含めること
例えばバリデーション計画書の署名のページを思い浮かべてください。電子記録でも同様の署名が求められています。承認済みの電子記録を表示・印刷する際は、承認情報も表示・印刷されることが望ましいです。
④電子署名は不正利用を防止するため、削除・コピーができないように電子記録とリンクしていること
どの電子記録に対する電子署名であるか、関連性が保持されていなければなりません。これはシステム内のデータの持ち方(データ構成)に大きく関わってきます。
あるシステムでは電子署名が変更履歴データと関連付けられていました。「承認」という事実は操作履歴で記録されていたため、本来であれば電子署名はこちらと関連付けられる方が望ましいかなと思った事例でした。
システムのデータ構造は、専門的過ぎて製薬会社さんが十分確認できる内容ではないため、システム開発者(供給者)側がしっかりとERES要件を理解していなければならないかなと思います。
つづく
2016年05月02日
こんにちは
ゴールデンウィーク真っただ中ですね
その恩恵にあずかり、朝の通勤電車ではゆったりと座って来ることができました。
会社に来てしまえば、いつも通りの月曜日です。
ゴールデンウィークでも浮かれることなんてありません!!
さて、本日のテーマは、電子記録・電子署名の「保存性」です。
「保存性」とは、
「データを定められた期間、真正性と見読性を確保して保存できること」です。
保存性についてはまず、データを必要な期間保存できないことの原因を考えてみたいと思います。
- CDに保存したデータを久しぶりに見ようとしたら、CDが割れていた
- パソコンがウイルスに感染して、保存しているデータがダメになってしまった
- システム障害によりデータを消失してしまった
- システム更新時、必要なデータを移行し忘れてしまった
保存性については、真正性、見読性を確保できているということが大前提です。その上で、データをいつまで保存しなければならないのかを考慮して、先で述べた原因を排除できるように対策をすることになります。
システム更新時のデータ移行については、供給者任せになってしまっている製薬会社さんが多いかもしれません。供給者に移行計画書や手順書を作成してもらい、どのデータをどのように移行し、その検証が十分されるかをしっかり確認するようにしてください。
監査証跡データは業務に直接関わらないデータであるため、ERES要件を十分理解していない供給者が移行を計画すると、見落とされてしまう可能性があります。要注意ポイントです!
技術的な視点から保存性の対策をすることももちろん重要ですが、それだけで完全にデータの保存性を確保することはできません。厚生労働省のERES指針では、電子媒体の管理等、保存性を確保するための手順を作成しなければならないと言われています。最終的には製薬会社さんの責任で適切に電子データ管理していくことが必要だということですね。
次回は、「電子署名」について見ていきたいと思います。
つづく