2017年08月
2017年08月31日
こんにちは
今日はあいにくの雨なのですが、外に一歩踏み出してもムッとした暑さはなく、少し肌寒いくらいの気候です。9月に入る直前、一足早く秋の訪れを感じた朝となりました。
さて、今回はPart 11やER/ES指針で具体的にオープン・システムの利用において挙げられている技術の一つ、「暗号化」をみていってみたいと思います。
暗号化といって真っ先に思い浮かぶのは「パスワード付きzip」ファイルでしょうか。これは「ZipCrypt」という暗号方式を使っているようです。
また、他にも身近なもので挙げてみると、Webブラウザのアドレスバーに表示される「https」です。
最近ではyahooのトップページも「https」となっていますね。
アドレスの先頭が「http」ではなく「https」になっていると、インターネット上で行われる通信が暗号化されるため、安心して情報のやり取りを行うことができます。
離れた拠点間であっても社内LANを利用しているかのように通信できるVPN(バーチャル プライベートネットワーク)も、暗号化を用いた技術の一つです。
拠点間の通信はインターネットを使っているのですが、通信情報を暗号化することによって、専用回線を用いているようなイメージで安心して通信できるようになります。
今日はこの辺で終わりにしようと思ったのですが、暗号化と言って思い浮かぶことがもう一つありました。
このブログでも話題にした事のある「ランサムウェア」、これは、感染したパソコンのファイルを暗号化して使えなくし、身代金を要求してくマルウェアの一つでしたね。
とても良い技術だからこそ、悪意を持って使われてしまうと大変なことになってしまう。。。
セキュリティ対策は本当に難しいですね。
つづく
2017年08月28日
こんにちは
先日、FDAのドラフトガイダンス「Use of Electronic Health Record Data in Clinical Investigations」(臨床試験における電子医療記録データの使用)を個人的に翻訳してみたのですが、今回はその際にまとめていた単語リストをせっかくなのでご紹介したいと思います。
なお、ここでご紹介する和訳は個人的な翻訳に用いたものであり、必ずしも正しい和訳であるとは限らないことをご了承ください。
こっちの日本語の方が一般的だよ!というアドバイスもいただけると嬉しいです。
《治験関連英単語リスト》
英単語 | 和訳 |
Agency | 政府機関 |
audit | 監査 |
biological products | 生物薬品 |
capture | 収集する |
case histories | 症例記録 |
Center for Biologics
Evaluation and Research (CBER) |
生物製品評価研究センター |
Center for Devices and
Radiological Health (CDRH) |
医療機器・放射線保健センター |
Center for Drug Evaluation and Research(CDER) | 医薬品評価研究センター |
certified copies | 保証付き複写 |
clinical care | 臨床診療 |
clinical findings | 臨床所見 |
Clinical Investigation | 臨床試験 |
clinical investigator | 治験責任医師 |
clinical notes | 臨床ノート |
clinical trial | 臨床試験 |
combination products | 配合剤 |
completeness | 網羅性 |
contract research organization | 試験受託機関 |
data breach | データ漏えい |
Data Modifications | データの修正 |
decision-making | 意思決定 |
demographics | 患者記述 |
diagnoses | 診断名 |
efficacy | 有効性 |
electronic case report form | 電子症例報告書 |
electronic data capture (EDC) system | 電子データ収集システム |
Electronic Health Record | 電子医療記録 |
electronic source data | 電子ソースデータ |
entities | 事業体 |
eSource guidance | eソースガイダンス |
follow-up | 経過観察 |
Food and Drug Administration | 食品医薬局 |
health care organizations and institutions | 医療機関及び施設 |
health care professionals | 医療従事者 |
health care provider | 医療関係者 |
health information | 診療情報 |
healthcare providers | 医療関係者 |
human drugs | ヒト用医薬品 |
immunization date | 予防接種日 |
inspection | 査察 |
institutional review boards | 施設内審査委員会 |
integrity | 完全性(インテグリティ) |
interoperability | 相互運用 |
interoperable | 相互運用できる |
interpretation of data | データ解釈 |
investigational new drug application (IND) | 新薬承認申請 |
legally enforceable responsibilities | 法的強制力のある責務 |
marketing application | 販売承認申請 |
medical device | 医療機器 |
medical history | 既往歴 |
medical product | 医薬品 |
medical products | メディカル製品 |
Office of the National
Coordinator for Health Information Technology |
医療 IT 全米調整官室 |
original record | オリジナル記録 |
originator | 作成者 |
pharmacoepidemiologic | 薬剤疫学 |
pharmacy record | 薬局記録 |
physician orders | 医師のオーダー |
postmarketing | 市販後の |
post-trial | 治験後 |
prophylaxis studies | 予防試験 |
prospective | プロスペクティブ(前向き)な |
protocol | プロトコル |
radiology image | 放射線画像 |
recommendation | 勧告 |
record retention | 記録保管 |
recordkeeping | 記録管理 |
regulatory or statutory | 法令及び規制 |
reliability | 信頼性 |
social history | 社会的な経歴 |
source data | ソースデータ |
source document | 原資料 |
sponsor | 依頼者(スポンサー) |
surgical history | 手術歴 |
the Department of Health
and Human Services(HHS) |
保健社会福祉省 |
the Office of Medical Policy | 医療政策部 |
the Office of Translational Sciences | トランスレーショナル・サイエンス部 |
treatment plan | 治療計画 |
trial subject | 被験者 |
validity | 妥当性 |
2017年08月18日
こんにちは
ここ数日、通勤電車内がゆったりとしていて少しお得な気分だったのですが、そろそろいつもの満員電車状態に戻ってきてしまいました。
皆様は有意義な夏休みをお過ごしになられたでしょうか。
これから夏休みをとるという方もいらっしゃるかもしれませんね。
せっかくの夏なので、今しか味わえない暑苦しさをもうしばらく楽しみたいと思います。
さて、本題はと言えば、少し遠回りしてしまった感もありますが、今回は再びPart 11やER/ES指針に戻ってオープン・システムを使用する際に求められていることを確認してみます。
Part 11では、
「Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.」
(オープン・システムを使って電子記録を作成、変更、維持、送信する者は、電子記録の真正性、完全性及び必要に応じて機密性をデータ作成時点からその受領時点までを通して保証するために策定した手順及び管理を採用すること。このような手順及び管理には、必要に応じて、11.10で挙げられている要件を含むこと。さらに、利用環境によっては、記録の真正性、完全性及び機密性を保証するために、文書の暗号化及び適したデジタル署名標準の使用等、追加手段を講じること。)
ER/ES指針では、
「電磁的記録を作成、変更、異所、保管、取出または配信をするためにオープン・システムを利用する場合は、3.1に記載された要件に加え、電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施すること。追加手段には、電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる。さらに、電子署名を使用する場合には、4.に記載された要件を満たしていること。」
とあるように、どちらも基本的にはクローズド・システムと同様に管理することの他に、暗号化やデジタル署名でセキュリティを強化してくださいねということが言われています。どちらも聞いたことはある言葉なのですが、実際に何をどうすればよいのかがピンときません。
そこで、次回からは「暗号化」と「デジタル署名」に着目して整理して行ってみようと思います。
つづく
2017年08月15日
こんにちは
さっそく今日のテーマです。
前回はアクセスの管理について整理してみましたので、今回はそれを参考にオープン・システムの定義にある「システムへのアクセスが管理されていないシステム」を整理して行ってみようと思います。
1)
ⅰ、ⅱとⅲの物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。
↓
つまり、これが管理されていないということは、
誰でも物理的にアクセスできる(つまり、システムを勝手に停止したり壊したりできる)
2)
ⅲ、ⅳのネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、ⅴも同様です。
↓
つまり、これが管理されていないということは、
社外LANからアクセスできる
3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。
↓
つまり、これが管理されていないということは、
システムでユーザ管理、アクセス管理が行われていない。ユーザIDやパスワードが外部に漏れてしまっている
という状態がそれぞれ考えられるかなと思います。
1)と3)については、比較的良く対応が取られていて、その必要性も皆さん十分ご存知かと思いますので、それほど問題になることはないかなと思います。
一方、2)については、オープン・システムとしてどのような対策をすればよいかよくわからないため、本来は社外からもアクセスできたほうが便利だけれども、渋々社内LANからのアクセスに限定して運用していることもあるのではないでしょうか。
そこで次回からは、とうとう今回のテーマの本題、社外からアクセスするオープン・システムではどのような対策が必要になるのか、考えていってみたいと思います。
2017年08月09日
こんにちは
以前のブログでも一度話題に挙げていましたが、7月31日から単回使用医療機器(SUD)の再製造が可能となりました。
こちらに厚生労働省からのプレスリリースがでていますのでご覧ください。
http://www.pmda.go.jp/files/000219252.pdf
この資料の中でCSVブログ担当者として注目した点は、新制度のポイントの一つとしてトレーサビリティの確保が挙げられていることです。
この機会に、「製品のトレーサビリティ確保=確実な在庫管理」を実現する「コンピュータ化システムバリデーション」を意識してもらえるようになると嬉しいです
さて現在のテーマに戻り、前回はオープン・システムとクローズド・システムの相違点である「システムへのアクセスが管理されているかどうか」について、「システムへのアクセス」を具体的に挙げてみました。
今回は、「アクセスの管理」について、前回整理した以下のⅰからⅷのアクセス毎に整理して行ってみようと思います。
- システムのサーバ(管理パソコン)の設置場所に立ち入る
- システムのサーバ(管理パソコン)本体の電源を入れる
- システムを立ち上げる
- 端末パソコン(操作パソコン)からサーバ(管理パソコン)にネットワーク経由で接続をする
- 端末パソコン(操作パソコン)からシステムにログインする
- システムに情報(データ、ファイル)を登録する
- システム内の情報(データ、ファイル)を閲覧、出力する
- システム内の情報(データ、ファイル)を変更、削除する
1)
ⅰ、ⅱとⅲの物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。
2)
ⅲ、ⅳのネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、ⅴも同様です。
3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。
つづく