2017年08月

2017年08月31日

こんにちは

今日はあいにくの雨なのですが、外に一歩踏み出してもムッとした暑さはなく、少し肌寒いくらいの気候です。9月に入る直前、一足早く秋の訪れを感じた朝となりました。



さて、今回はPart 11やER/ES指針で具体的にオープン・システムの利用において挙げられている技術の一つ、「暗号化」をみていってみたいと思います。

暗号化といって真っ先に思い浮かぶのは「パスワード付きzip」ファイルでしょうか。これは「ZipCrypt」という暗号方式を使っているようです。

また、他にも身近なもので挙げてみると、Webブラウザのアドレスバーに表示される「https」です。
最近ではyahooのトップページも「https」となっていますね。
アドレスの先頭が「http」ではなく「https」になっていると、インターネット上で行われる通信が暗号化されるため、安心して情報のやり取りを行うことができます。

離れた拠点間であっても社内LANを利用しているかのように通信できるVPN(バーチャル プライベートネットワーク)も、暗号化を用いた技術の一つです。
拠点間の通信はインターネットを使っているのですが、通信情報を暗号化することによって、専用回線を用いているようなイメージで安心して通信できるようになります。


今日はこの辺で終わりにしようと思ったのですが、暗号化と言って思い浮かぶことがもう一つありました。

このブログでも話題にした事のある「ランサムウェア」、これは、感染したパソコンのファイルを暗号化して使えなくし、身代金を要求してくマルウェアの一つでしたね。

とても良い技術だからこそ、悪意を持って使われてしまうと大変なことになってしまう。。。
セキュリティ対策は本当に難しいですね。



つづく




(10:12)

2017年08月28日

こんにちは

先日、
FDAのドラフトガイダンス「Use of Electronic Health Record Data in Clinical Investigations(臨床試験における電子医療記録データの使用)を個人的に翻訳してみたのですが、今回はその際にまとめていた単語リストをせっかくなのでご紹介したいと思います。


なお、ここでご紹介する和訳は個人的な翻訳に用いたものであり、必ずしも正しい和訳であるとは限らないことをご了承ください。
こっちの日本語の方が一般的だよ!というアドバイスもいただけると嬉しいです。

《治験関連英単語リスト》

英単語 和訳
Agency 政府機関
audit 監査
biological products 生物薬品
capture 収集する
case histories 症例記録
Center for Biologics Evaluation and
Research (CBER)
生物製品評価研究センター
Center for Devices and Radiological
Health (CDRH)
医療機器・放射線保健センター
Center for Drug Evaluation and Research(CDER) 医薬品評価研究センター
certified copies 保証付き複写
clinical care 臨床診療
clinical findings 臨床所見
Clinical Investigation 臨床試験
clinical investigator 治験責任医師
clinical notes 臨床ノート
clinical trial 臨床試験
combination products 配合剤
completeness 網羅性
contract research organization 試験受託機関
data breach データ漏えい
Data Modifications データの修正
decision-making 意思決定
demographics 患者記述
diagnoses 診断名
efficacy 有効性
electronic case report form 電子症例報告書
electronic data capture (EDC) system 電子データ収集システム
Electronic Health Record 電子医療記録
electronic source data 電子ソースデータ
entities 事業体
eSource guidance eソースガイダンス
follow-up 経過観察
Food and Drug Administration 食品医薬局
health care organizations and institutions 医療機関及び施設
health care professionals 医療従事者
health care provider 医療関係者
health information 診療情報
healthcare providers 医療関係者
human drugs ヒト用医薬品
immunization date 予防接種日
inspection 査察
institutional review boards 施設内審査委員会
integrity 完全性(インテグリティ)
interoperability  相互運用
interoperable 相互運用できる
interpretation of data データ解釈
investigational new drug application (IND) 新薬承認申請
legally enforceable responsibilities 法的強制力のある責務
marketing application 販売承認申請
medical device 医療機器
medical history 既往歴
medical product 医薬品
medical products メディカル製品
Office of the National Coordinator for
Health Information Technology
医療 IT 全米調整官室
original record  オリジナル記録
originator 作成者
pharmacoepidemiologic 薬剤疫学
pharmacy record 薬局記録
physician orders 医師のオーダー
postmarketing 市販後の
post-trial 治験後
prophylaxis studies 予防試験
prospective プロスペクティブ(前向き)な
protocol プロトコル
radiology image 放射線画像
recommendation 勧告
record retention 記録保管
recordkeeping 記録管理
regulatory or statutory 法令及び規制
reliability 信頼性
social history 社会的な経歴
source data ソースデータ
source document 原資料
sponsor 依頼者(スポンサー)
surgical history 手術歴
the Department of Health and Human
Services(HHS)
保健社会福祉省
the Office of Medical Policy 医療政策部
the Office of Translational Sciences トランスレーショナル・サイエンス部
treatment plan 治療計画
trial subject 被験者
validity 妥当性






(10:23)

2017年08月18日

こんにちは

ここ数日、通勤電車内がゆったりとしていて少しお得な気分だったのですが、そろそろいつもの満員電車状態に戻ってきてしまいました。

皆様は有意義な夏休みをお過ごしになられたでしょうか。
これから夏休みをとるという方もいらっしゃるかもしれませんね。

せっかくの夏なので、今しか味わえない暑苦しさをもうしばらく楽しみたいと思います。




さて、本題はと言えば、少し遠回りしてしまった感もありますが、今回は再びPart 11やER/ES指針に戻ってオープン・システムを使用する際に求められていることを確認してみます。

Part 11では、
「Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.」
(オープン・システムを使って電子記録を作成、変更、維持、送信する者は、電子記録の真正性、完全性及び必要に応じて機密性をデータ作成時点からその受領時点までを通して保証するために策定した手順及び管理を採用すること。このような手順及び管理には、必要に応じて、11.10で挙げられている要件を含むこと。さらに、利用環境によっては、記録の真正性、完全性及び機密性を保証するために、文書の暗号化及び適したデジタル署名標準の使用等、追加手段を講じること。)

ER/ES指針では、
「電磁的記録を作成、変更、異所、保管、取出または配信をするためにオープン・システムを利用する場合は、3.1に記載された要件に加え、電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施すること。追加手段には、電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる。さらに、電子署名を使用する場合には、4.に記載された要件を満たしていること。」


とあるように、どちらも基本的にはクローズド・システムと同様に管理することの他に、暗号化やデジタル署名でセキュリティを強化してくださいねということが言われています。どちらも聞いたことはある言葉なのですが、実際に何をどうすればよいのかがピンときません。

そこで、次回からは「暗号化」と「デジタル署名」に着目して整理して行ってみようと思います。

つづく




(15:21)

2017年08月15日

こんにちは

さっそく今日のテーマです。

前回はアクセスの管理について整理してみましたので、今回はそれを参考にオープン・システムの定義にある「システムへのアクセスが管理されていないシステム」を整理して行ってみようと思います。

1)
ⅰ、ⅱとⅲの物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。

つまり、これが管理されていないということは、
誰でも物理的にアクセスできる(つまり、システムを勝手に停止したり壊したりできる)

2)
ⅲ、ⅳのネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、ⅴも同様です。

つまり、これが管理されていないということは、
社外LANからアクセスできる

3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。

つまり、これが管理されていないということは、
システムでユーザ管理、アクセス管理が行われていない。ユーザIDやパスワードが外部に漏れてしまっている

という状態がそれぞれ考えられるかなと思います。


1)と3)については、比較的良く対応が取られていて、その必要性も皆さん十分ご存知かと思いますので、それほど問題になることはないかなと思います。

一方、2)については、オープン・システムとしてどのような対策をすればよいかよくわからないため、本来は社外からもアクセスできたほうが便利だけれども、渋々社内LANからのアクセスに限定して運用していることもあるのではないでしょうか。


そこで次回からは、とうとう今回のテーマの本題、社外からアクセスするオープン・システムではどのような対策が必要になるのか、考えていってみたいと思います。





(17:59)

2017年08月09日

こんにちは

以前のブログでも一度話題に挙げていましたが、7月31日から単回使用医療機器(SUD)の再製造が可能となりました。
こちらに厚生労働省からのプレスリリースがでていますのでご覧ください。
http://www.pmda.go.jp/files/000219252.pdf

この資料の中でCSVブログ担当者として注目した点は、新制度のポイントの一つとしてトレーサビリティの確保が挙げられていることです。

この機会に、「製品のトレーサビリティ確保=確実な在庫管理」を実現する「コンピュータ化システムバリデーション」を意識してもらえるようになると嬉しいです



さて現在のテーマに戻り、前回はオープン・システムとクローズド・システムの相違点である
「システムへのアクセスが管理されているかどうか」について、「システムへのアクセス」を具体的に挙げてみました。

今回は、「アクセスの管理」について、前回整理した以下のⅰからⅷのアクセス毎に整理して行ってみようと思います。

  1. システムのサーバ(管理パソコン)の設置場所に立ち入る
  2. システムのサーバ(管理パソコン)本体の電源を入れる
  3. システムを立ち上げる
  4. 端末パソコン(操作パソコン)からサーバ(管理パソコン)にネットワーク経由で接続をする
  5. 端末パソコン(操作パソコン)からシステムにログインする
  6. システムに情報(データ、ファイル)を登録する
  7. システム内の情報(データ、ファイル)を閲覧、出力する
  8. システム内の情報(データ、ファイル)を変更、削除する


1)
の物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。

2)
のネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、も同様です。

3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。

つづく




(13:32)