Part11のこと

2017年10月23日

こんにちは

今朝の通勤時間帯、東京は台風直撃でしたが、皆さま無事に乗り切れたでしょうか。

この週末も連日の雨、雨で、横浜マラソンを翌週に控えている身にとってはとてももどかしい二日間となりました そして、こんな激しい雨の中でも、家族揃って傘を差しながらどこかへ向かう姿をあちこちで見かけるなぁと思っていたら、世間では衆議院選挙があったんですよね。

そんな方々の姿に触発され、私もギリギリ締め切り1時間前に投票に行ってきました。帰る頃には足下がびしょ濡れになってしまいましたが、とりあえず大人としての責務を全うすることができて満足です。




さてさて本題のCSVはというと、今回でとうとうシリーズ最終回となります。本シリーズではオープン・システム対策のポイントとして、Part 11やER/ES指針でも例として挙げられている暗号化とデジタル署名を中心としたセキュリティ対策の技術をみてきました。

これらの技術は日々進化していて、時代遅れの技術を利用することで悪用されてしまう恐れもあります。オープン・システムという不特定多数の人がアクセスできる環境でシステムを使用する際は、常に最新の情報をモニターしていくことも必要になりますので、社内IT部門のサポートや社外のセキュリティ専門家の意見を受けながら保守管理していける体制を構築していけると良いかなと思います。


<完>


ということで、これでシリーズは完了となりましたが、最後に一つ、暗号化に関する補足があります。

先日、無線LANで使用されている通信規格WPA2の暗号化技術に脆弱性があるとの報告がされました。この脆弱性が悪用されると、無線通信が盗聴されてしまう恐れもあるということです。

WPA2は、皆様の会社やご家庭のルータやアクセスポイントで利用されている可能性も非常に高い通信規格となります。各種製品のメーカーHPをチェックして、脆弱性対応されたソフトウェアの最新版を入手し、可能な限り早く適用するようご対応ください。

なお、WPA2の脆弱性の詳細については、下記IPAのサイトよりご確認いただければと思います。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html




(16:53)

2017年10月18日

こんにちは

週末から続いていた雨もようやくおさまり、今朝は久しぶりの快晴です。
ここ数日続いた雨のせいですっかり気温も下がってしまい、電車に乗っている人たちの服装も防寒仕様に様変わりです

街中では風邪も流行っているみたいなので、季節の変わり目に体調を崩すことのないよう皆様も油断せずにお過ごしください




さて、本日も前回に引き続きデジタル証明書についてです。前回の記事ではデジタル証明書を文章だけでまとめているため、ややこしくなってしまいました。わかりやすい概略図がインターネット上にごろごろ転がっていますので、こんな説明じゃわからん!という方は調べてみてください。


ということで、ここでは簡単に整理すると、

デジタル証明書とは、デジタル署名で使う公開鍵が送信者本人のものであることを、第三者が証明してくれるしくみです。

銀行から送られてくるメールにはデジタル証明書がついていることがありますが、これもメールのメッセージが本当に銀行からのものであることを証明してくれているということですね。

私はちょっと前まではデジタル署名というと、どこかに登録が必要で費用が掛かるんだろうなぁと誤解していましたが、実際にはデジタル署名を保証するデジタル証明書を使用する際に認証局に登録が必要ということみたいです。

とはいえ、オープン・システムを使って申請書等の重要な情報をやり取りするのであれば、デジタル署名の信頼性を高めるためにデジタル証明書を活用する場面も多々あるだろうなと思っています。

つづく




(13:11)

2017年10月10日

こんにちは

10月、体育の日の三連休、皆さまはいかがお過ごしでしたでしょうか。晴天に恵まれて夏に戻ったかのような気温だったそうですが、空気はカラっとしていてやっぱり秋を感じる3日間でした。

私はといえば、今月末に参加する横浜マラソンを見据えて30キロ走に挑戦しました。久しぶりに長い距離を走ったせいか、今朝の通勤はひどい筋肉痛で階段を降りるのにとても苦労しました普段からもう少し練習しておかないとダメですね。



さて、本日はER/ES指針やPart11の要件とは少し離れてしまいますが、オープン・システムの環境を構築する上で活用できそうなデジタル証明書について見ていってみたいと思います。

デジタル証明書は、デジタル署名が本物であることを証明するものです。デジタル署名とデジタル証明書の関係は、印鑑と印鑑証明の関係と同じです。印鑑が持ち主本人のものであることを公的機関が証明してくれるように、デジタル署名が本人のものであることを第三者機関(=認証局)が証明してくれる際に発行されるのがデジタル証明書です。


Aさんは認証局に自分の公開鍵の登録を依頼します。


認証局Cは、Aさんの公開鍵に対してデジタル署名をし、デジタル証明書を作成します。このデジタル証明書には、認証局Cのデジタル署名の他に、Aさんの情報、Aさんの公開鍵及び認証局Cの情報も含まれています。


認証局は、デジタル証明書をAさんに送付します。


AさんはBさんにびデジタル証明書を送ります。


Bさんは、認証局Cの公開鍵で認証局Cのデジタル署名を検証します。この検証がうまくいくと、デジタル証明書内の公開鍵がAさんのものであるということが認証局Cによって証明されたことになります。


AさんはBさんに目的の情報とそのデジタル署名を送ります。


BさんはAさんの公開鍵を使って、目的の情報の検証(発信源がAさんで、内容に改ざんがないことの確認)を行います。


つづく





(10:36)

2017年10月03日

こんにちは

すっかり秋らしくなってきた今日この頃、ジョギングに出るにも半袖では少し肌寒くなってきました。走り出してしまえば無意識のうちに腕まくりをしてしまうんですけどね。

私事ですが、今月末に開催される横浜マラソンに出場します 今回が2回目のフルマラソンです。前回よりも練習できていないので無茶してリタイアなんてことにならないように、まずは完走を目標に横浜の街中を気持ちよく走れればなと思っています。


さて、またまた期間が空いてしまいましたが、今回は前回ご紹介した「公開鍵暗号方式」と「ハッシュ関数」を組み合わせて実現できる、デジタル署名の仕組みを見ていってみようと思います。

《メッセージ送信者側(Aさん)》
1‐① Aさんは秘密鍵と公開鍵のペアを作製
1‐② Aさんは文書Xのハッシュ値を取得
1‐③ Aさんは文書Xのハッシュ値を秘密鍵で暗号化(=デジタル署名)
1‐④ Aさんは文書Xとデジタル署名をBさんに送付

《メッセージ受取側(Bさん)》
2‐① BさんはAさんの公開鍵を入手
2‐② BさんはAさんのデジタル署名を公開鍵で復号
2‐③ Bさんは文書Xからハッシュ値を取得
2‐④ Bさんは②と③の一致を確認

以上の流れデジタル署名を検証することによって、Bさんは文書XがAさん本人からで、改ざんがないことを確認することができます。

せっかくここまでご紹介したので、ちょっと横道にそれてしまいますが、デジタル証明書についても次回、簡単にご紹介したいと思います。

つづく




(14:55)

2017年09月25日

こんにちは

9月もあと一週間、
先ほどふらっと外に出てみたら、カラっとした晴天でとても気持ちのいい陽気でした。


さて、先週はブログをサボっとしまいましたが、なんとか前回の内容を思い出しながら引き続きデジタル署名について考えていってみたいと思います。

前回はPart11やER/ES指針におけるデジタル署名の定義について確認してみたかと思います。そして、やはりここでも暗号化というキーワードがポイントとなっていそうかな、とお気づきになられたでしょうか?

今回は少し製薬業界から離れ、実際に暗号化を用いてどのように本人と内容を保証するのか、コンピュータセキュリティの基本、デジタル署名の仕組みについて見てみたいと思います。



デジタル署名では「公開鍵暗号方式」と「ハッシュ関数」が使用されます。

公開鍵暗号方式とは、

データを暗号化する時は、本人しか持っていない「秘密鍵」を使って暗号化し、データ復号(暗号化されたデータを元に戻すこと)する時は、公開されている「公開鍵」で復号できる暗号方式です。

「秘密鍵」と「公開鍵」はこの2つで1セットになります。他の鍵との組み合わせでは復号することはできません。したがって、「秘密鍵」が外部に漏れていないことが確実であるならば、「公開鍵で復号できた」=「秘密鍵を持つ本人が暗号化した」=「本人検証が可能」ということになります。



一方、ハッシュ関数とは、

目的の情報に対して特定の処理を行い、一定長のデータ(ハッシュ値)に変換する関数です。ハッシュ関数には以下のような特徴があります。

①同じ情報では毎回同じハッシュ値が得られる
②同じハッシュ値となる別の情報を見つけることがとても難しい
③ハッシュ値が同じ異なる情報のペアを見つけるのがとても難しい
④ハッシュ値から元の情報を得ることがとても難しい

このような特徴を利用して、情報が改ざんされていない証拠として用いることができます。

つづく




(16:28)

2017年09月13日

こんにちは

さて、今日も本題のオープン・システムについて進めて行こうと思います。

今回は前回までの暗号化とともにオープン・システムで求められているもう一つの要件、デジタル署名についてです。


デジタル署名とは、情報発信者の本人確認と内容が変更されていないことを証明するものです。紙の署名や印鑑と考え方は基本的には同じです。データインテグリティで言われているALCOAの「Attributable」と「Accurate」も、デジタル署名によって実現することができそうですね。

デジタル署名については、Part 11やER/ES指針の定義でも説明されているため、そちらも確認してみます。

Part 11では、
「Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.」
(デジタル署名とは、署名者の識別及びデータ完全性を検証できるように規則やパラメータを用いて算出された、本人認証の暗号化方式に基づいた電子署名のこと)

ER/ES指針では、
「署名者認証の暗号化技術等に基づく電子署名」

となっています。さらに、ここで出てくる「電子署名」についてもそれぞれ定義されているのでご紹介します。

Part 11では、
「Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.」
(電子署名とは、手書き署名と同等の法的拘束力があるとみなされ、個人によって作成、採用、承認される記号または一連の記号から成るコンピュータデータ)

ER/ES指針では、
「電磁的記録に対し、手書き署名又は捺印と同等のものとして行われる署名で、個人又は法人が作成、採用、確認、承認する一連の記号を電子化して構成したデータ」

ということだそうです。
こうやって読み比べてみると、デジタル署名も電子署名も、Part 11とER/ES指針の両者で同じようなことを言っているんだろうなということがわかります。

つづく




(11:42)

2017年09月05日

こんにちは

さて今日もお仕事モード、オープン・システムのお話を始めましょう

前回のように暗号化の例を見ていってみると、ハードルが高いと思っていた暗号化技術も、実は身近な場面でいろいろ使われているということがわかりますね。

ひょっとして、暗号化って比較的簡単に導入できるっていうこと?
しかし、ここで注意が必要です。

例えば、前回ご紹介したzipファイルの暗号化方式「ZipCrypt」は、知っている人の手にかかれば、簡単に解読されてしまうそうです。

また、https通信でも、SSLというバージョンでは脆弱性が報告されていて、暗号が第三者によって解読されてしまう恐れがあるそうです。

このような例からもわかるように、暗号化したからといって、すっかり安心しきってしまうことはできません。

ということは、やっぱり暗号化は無理、、、?
という結論に落ち着くのはもう少し待って下さいね。

暗号化技術がセキュリティ対策にとても有用だという事実は、覆ることはありません。

日本ではCRYPTRECという暗号の安全性を調査・検討するプロジェクトが「電子政府推奨暗号リスト」というものを公開して、暗号化技術を安全に使用できるように情報を提供してくれています。


製薬業界の皆さまもこのような資料を参考にして、セキュリティの専門家と相談しながら暗号化技術の採用をご検討いただければと思います。

CRYPTRECのウェブサイト:
https://www.cryptrec.go.jp/

電子政府推奨暗号リスト:
https://www.cryptrec.go.jp/method.html

いずれにしても、暗号化は不特定多数の人が利用しているインターネット上に流れる情報の盗聴や情報漏えいを防止する目的で使われていそうです。通信する情報の中には、業務で発生した機密データの他、IDやパスワード等のデータ等も含まれるため、それらが盗聴されてしまうと、結果的に業務データの改ざんが行われてしまう恐れもあります。したがって、機密情報を取り扱わない通信であっても、インターネット経由で通信を行う際は、何かしらの暗号技術を用いることが必要になるかなと思います。





(14:44)

2017年08月31日

こんにちは

今日はあいにくの雨なのですが、外に一歩踏み出してもムッとした暑さはなく、少し肌寒いくらいの気候です。9月に入る直前、一足早く秋の訪れを感じた朝となりました。



さて、今回はPart 11やER/ES指針で具体的にオープン・システムの利用において挙げられている技術の一つ、「暗号化」をみていってみたいと思います。

暗号化といって真っ先に思い浮かぶのは「パスワード付きzip」ファイルでしょうか。これは「ZipCrypt」という暗号方式を使っているようです。

また、他にも身近なもので挙げてみると、Webブラウザのアドレスバーに表示される「https」です。
最近ではyahooのトップページも「https」となっていますね。
アドレスの先頭が「http」ではなく「https」になっていると、インターネット上で行われる通信が暗号化されるため、安心して情報のやり取りを行うことができます。

離れた拠点間であっても社内LANを利用しているかのように通信できるVPN(バーチャル プライベートネットワーク)も、暗号化を用いた技術の一つです。
拠点間の通信はインターネットを使っているのですが、通信情報を暗号化することによって、専用回線を用いているようなイメージで安心して通信できるようになります。


今日はこの辺で終わりにしようと思ったのですが、暗号化と言って思い浮かぶことがもう一つありました。

このブログでも話題にした事のある「ランサムウェア」、これは、感染したパソコンのファイルを暗号化して使えなくし、身代金を要求してくマルウェアの一つでしたね。

とても良い技術だからこそ、悪意を持って使われてしまうと大変なことになってしまう。。。
セキュリティ対策は本当に難しいですね。



つづく




(10:12)

2017年08月18日

こんにちは

ここ数日、通勤電車内がゆったりとしていて少しお得な気分だったのですが、そろそろいつもの満員電車状態に戻ってきてしまいました。

皆様は有意義な夏休みをお過ごしになられたでしょうか。
これから夏休みをとるという方もいらっしゃるかもしれませんね。

せっかくの夏なので、今しか味わえない暑苦しさをもうしばらく楽しみたいと思います。




さて、本題はと言えば、少し遠回りしてしまった感もありますが、今回は再びPart 11やER/ES指針に戻ってオープン・システムを使用する際に求められていることを確認してみます。

Part 11では、
「Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.」
(オープン・システムを使って電子記録を作成、変更、維持、送信する者は、電子記録の真正性、完全性及び必要に応じて機密性をデータ作成時点からその受領時点までを通して保証するために策定した手順及び管理を採用すること。このような手順及び管理には、必要に応じて、11.10で挙げられている要件を含むこと。さらに、利用環境によっては、記録の真正性、完全性及び機密性を保証するために、文書の暗号化及び適したデジタル署名標準の使用等、追加手段を講じること。)

ER/ES指針では、
「電磁的記録を作成、変更、異所、保管、取出または配信をするためにオープン・システムを利用する場合は、3.1に記載された要件に加え、電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施すること。追加手段には、電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる。さらに、電子署名を使用する場合には、4.に記載された要件を満たしていること。」


とあるように、どちらも基本的にはクローズド・システムと同様に管理することの他に、暗号化やデジタル署名でセキュリティを強化してくださいねということが言われています。どちらも聞いたことはある言葉なのですが、実際に何をどうすればよいのかがピンときません。

そこで、次回からは「暗号化」と「デジタル署名」に着目して整理して行ってみようと思います。

つづく




(15:21)

2017年08月15日

こんにちは

さっそく今日のテーマです。

前回はアクセスの管理について整理してみましたので、今回はそれを参考にオープン・システムの定義にある「システムへのアクセスが管理されていないシステム」を整理して行ってみようと思います。

1)
ⅰ、ⅱとⅲの物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。

つまり、これが管理されていないということは、
誰でも物理的にアクセスできる(つまり、システムを勝手に停止したり壊したりできる)

2)
ⅲ、ⅳのネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、ⅴも同様です。

つまり、これが管理されていないということは、
社外LANからアクセスできる

3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。

つまり、これが管理されていないということは、
システムでユーザ管理、アクセス管理が行われていない。ユーザIDやパスワードが外部に漏れてしまっている

という状態がそれぞれ考えられるかなと思います。


1)と3)については、比較的良く対応が取られていて、その必要性も皆さん十分ご存知かと思いますので、それほど問題になることはないかなと思います。

一方、2)については、オープン・システムとしてどのような対策をすればよいかよくわからないため、本来は社外からもアクセスできたほうが便利だけれども、渋々社内LANからのアクセスに限定して運用していることもあるのではないでしょうか。


そこで次回からは、とうとう今回のテーマの本題、社外からアクセスするオープン・システムではどのような対策が必要になるのか、考えていってみたいと思います。





(17:59)

2017年08月09日

こんにちは

以前のブログでも一度話題に挙げていましたが、7月31日から単回使用医療機器(SUD)の再製造が可能となりました。
こちらに厚生労働省からのプレスリリースがでていますのでご覧ください。
http://www.pmda.go.jp/files/000219252.pdf

この資料の中でCSVブログ担当者として注目した点は、新制度のポイントの一つとしてトレーサビリティの確保が挙げられていることです。

この機会に、「製品のトレーサビリティ確保=確実な在庫管理」を実現する「コンピュータ化システムバリデーション」を意識してもらえるようになると嬉しいです



さて現在のテーマに戻り、前回はオープン・システムとクローズド・システムの相違点である
「システムへのアクセスが管理されているかどうか」について、「システムへのアクセス」を具体的に挙げてみました。

今回は、「アクセスの管理」について、前回整理した以下のⅰからⅷのアクセス毎に整理して行ってみようと思います。

  1. システムのサーバ(管理パソコン)の設置場所に立ち入る
  2. システムのサーバ(管理パソコン)本体の電源を入れる
  3. システムを立ち上げる
  4. 端末パソコン(操作パソコン)からサーバ(管理パソコン)にネットワーク経由で接続をする
  5. 端末パソコン(操作パソコン)からシステムにログインする
  6. システムに情報(データ、ファイル)を登録する
  7. システム内の情報(データ、ファイル)を閲覧、出力する
  8. システム内の情報(データ、ファイル)を変更、削除する


1)
の物理的な管理については、設置場所を施錠管理する、入退室を管理する、などになるかと思います。サーバ本体を外部のデータセンターが管理していても同じです。

2)
のネットワーク経由でのアクセスの管理については、一番手っ取り早いのは社内LANからのアクセスに制限することです。この点については、も同様です。

3)
ⅵからⅷについては、システムのユーザ管理やアクセス権設定によって管理することができます。

つづく




(13:32)

2017年07月31日

こんにちは

少し取り上げるのが遅れてしまいましたが、6/21に厚生労働省で検討されている「医療用医薬品の偽造品流通防止のための施策のあり方に関する検討会」で中間とりまとめが公表されました。

お役所公表の文書ですが、マスコミの向こう側の一般の方々をも意識しているのか、業界の背景もしっかり説明されていて、すらすら読み進めていける内容となっています。

具体的な対策としては、卸売販売業者と薬局に関する事項が割合として多く挙げられています。そして、このどちらにおいても、取引時に考慮すべきことと、手順書の整備が共通して述べられています。

もっと詳しく知りたい!という方は、厚生労働省のホームページをご覧ください

http://www.mhlw.go.jp/file/05-Shingikai-11121000-Iyakushokuhinkyoku-Soumuka/gizouiyakuhinnryuutuubousikenntoukaityuukanntorimatome.pdf

この資料の最後には、今後の更なる検討事項として「情報システムの整備に向けた検討」が挙げられています。
バーコード表示の利活用の状況を踏まえ、更なる利活用の促進に向けた取組を...」とのことで、IT活用の場がさらに広がりそうな予感がします。


さて、今日も余談を本題としてしまおうかなという誘惑に負けそうになりましたが、中断し過ぎるとどこまでいったか忘れてしまいそうなので、連載中のオープン・システムについてもしっかり進めたいと思います。


前々回と前回で、オープン・システムとクローズド・システムを再確認してみました。これらの記事をじっくり見比べてみると、違いは
「システムへのアクセスが管理されているかどうか」ということだけなんですね。

しかし、簡潔に表現はされていますが、すでにここでなんとなくもやもやっとしてしまいます。そこで、システムへのアクセスとは?アクセスの管理とは?一体どういうことなのか、順を追って整理してみようと思います。

<システムへのアクセス>
システムへアクセスするということは、さらっとまとめると次のような操作の組み合わせになるかなと思います。

  1. システムのサーバ(管理パソコン)の設置場所に立ち入る
  2. システムのサーバ(管理パソコン)本体の電源を入れる
  3. システムを立ち上げる
  4. 端末パソコン(操作パソコン)からサーバ(管理パソコン)にネットワーク経由で接続をする
  5. 端末パソコン(操作パソコン)からシステムにログインする
  6. システムに情報(データ、ファイル)を登録する
  7. システム内の情報(データ、ファイル)を閲覧、出力する
  8. システム内の情報(データ、ファイル)を変更、削除する

ここで、ⅰ~ⅷについて補足を、、、

については、システムの物理的なアクセスになります。

については、通常は物理的にアクセスして行うことが多いですが、のようなネットワーク経由で遠隔操作にて行うこともできます。

については、普段問題なくシステムを使えている時にはあまり意識しない部分ですね。裏側では、WindowsなどのOS(オペレーティングシステム)やシステムのアプリケーション上で、通信するためのいろいろな設定がされています。

については、ログイン画面からのアクセスなので、システムが管理する情報へのアクセスはかなり限定的です。

ⅵからⅷについては、システムが管理する情報にアクセスしています。システムへのアクセスというと、これが本来の目的となるかと思います。

つづく




(15:08)

2017年07月19日

こんにちは

学校では今週末から夏休みという地域が多いみたいですね。
夏バテ、熱中症に気を付けながら、今年の夏を楽しく過ごしましょう


さてさて、話は現在のテーマに移り、今回は、オープン・システムと対になって説明されることの多いクローズド・システムの定義もご紹介しておきたいと思います。


Part 11では、

「Closed system means an environment in which system access is controlled by persons who are responsible for the content of electronic records that are on the system」

(クローズド・システムとは、システム内の電子記録の内容に責任を持つ者によって、システムへのアクセスが管理されている環境のこと)


ER/ES指針では、

「システム内の電磁的記録に責任を持つ者によって、システムへのアクセスが管理されているシステム」


と定義されています。

オープン・システムとクローズド・システム、言葉で表現するとほんの少しの違いなのですが、この間には製薬会社さんにとってとても高い壁が存在しているんだろうなというのがCSVに携わってきている中での印象です。

つづく



(17:00)

2017年07月11日

こんにちは

今回はシリーズテーマとなっている「オープン・システム」について今一度確認してみます。



オープン・システムとは、Part 11(※1)やER/ES指針(※2)で使用されている用語です。

そのまま転載してみると、


Part 11では、

「Open system means an environment in which system access is not controlled by persons who are responsible for the content of electronic records that are on the system」

(オープン・システムとは、システム内の電子記録の内容に責任を持つ者によって、システムへのアクセスが管理されていない環境のこと)


ER/ES指針では、

「システム内の電磁的記録に責任を持つ者によって、システムへのアクセスが管理されていないシステム」


と定義されています。


※1:Part 11とは、
「Title 21 Code of Federal Regulations Part 11」の略称です。

「Code of Federal Regulations」 はアメリカの連邦規則集、その中の21巻(Title 21)が、食物と薬物に関する規則で、日本の厚生労働省と同じ役割を担うアメリカの行政機関、食品医薬品局(FDA)が管理しています。

Part 11はその11番目の規則となり、1997年に発出され、電子記録・電子署名(ER/ES)が紙の記録と同等に信頼できるものとする判断基準を定めています。


※2:
ER/ES指針とは、
厚生労働省の医薬食品局長通知として2005年に発出された「医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について」の略称です。「日本版Part 11」と呼ばれることもあります。


Part 11やER/ES指針については、こちらのシリーズ記事でも取り上げていますので、復習がてら目を通していただければと思います。



つづく




(11:07)

2017年06月26日

こんにちは

最近は東京も梅雨らしい天気が続いています。
梅雨の時期は頭痛がしたり自律神経が乱れたり、体調が悪くなる方も結構いらっしゃるんではないでしょうか。

また意外にも(?)、梅雨はぎっくり腰が多発する季節でもあるそうです。突然「ピキッ~」ときて、たちまち動けなくなってしまうあの厄介者です
かがんだり、物を持ったり、腰に負担を掛けないように意識しながら、この時期を無事に乗り切ってください



さて、実体験からの皆さまへのアドバイスはここまでとし、お仕事モードに切替です。

本日からの新しいシリーズでは、なんとなく皆さんから敬遠されてしまう「オープン・システム」について、取り上げてみようと思います。

医薬品の申請資料等に電子記録・電子署名を使用する場合に準拠すべき規制として、アメリカFDAの21 CFR Part 11(略称:Part 11)や、日本の「医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について」(略称:ER/ES指針)があります。


これらの中では、電子記録の真正性、見読性、保存性を確保するように求められていて、製薬会社さんであれば、電子記録を用いる業務において、かなり意識が高まってきているのではないかなと思っています。


一方で、このような規制を意識し過ぎて、日々進化しているとても便利な技術が世の中に出回っていても、中々手を出しにくい状況となってしまっているのも事実です。


今回は、その中の一つ、オープン・システムについて考えてみたいと思います。


つづく




(17:41)