GMP クラウドシステム導入チェックポイント

■はじめに
医薬、製薬、医療機器業界におけるGxP関連業務のクラウドシステム導入のためのチェックポイントを列挙します。整理はきれいにできておりませんが、御参考になれば幸いです。

  • 対応要件
    CSV(Computerized System Validation)コンピュータ化システムバリデーション
    GAMP5
    ER/ES指針 ポイントは3つ(真正性、見読性、保存性)
    FDA Part11
    DI(Data Integrity)データインテグリティ
  • 基本的な考え方
    GCP(臨床試験)、GDP(流通)、GLP(非臨床試験)、GMP(製造・品質管理)、GQP(品質保証)、GVP(市販後安全管理)、GPSP(市販後調査) 業務に関わるシステムの導入について、リスクマネジメントを用いて検討する。
    上記対応要件に対しての対応可能、一部対応可能、対応不可等それぞれでリスクを洗い出し、対応できないリスクを許容できるのかを自社で検討する。
  • システムの利用用途は?
    ・生産管理システム
     例)SAP、MCFrame
    ・MES
     例)HITPHAMS、CIMVisionPharms、Pharmanage
    ・在庫管理(製品、原材料)システム
    ・購買管理システム
    ・品質管理システム/LIMS
    ・製品情報管理システム/PLM
    ・品質保証ワークフロー
     例)Trackwise
    ・文書管理システム
     例)Perma Document、Documentum、HITQUAA、Agatha
    ・臨床試験・治験管理システム
     例)DDworks
    ・サプライヤ管理システム
    ・品質情報、逸脱、CAPA管理システム
    ・販売管理システム
    ・物流管理システム
    ・倉庫管理システム/WMS
    ・配送管理システム
  • サプライヤアセスメントは実施したか?
    以下のサプライヤーに対して、システム選定時点で実施する。
    例)
    ・パッケージ開発サプライヤ(SAP)
    ・パッケージ導入サプライヤ(IT企業)
    ・ITインフラ(AWS)
    実地、文書についてはどちらでも良い
    参考資料
  • 導入システムが確かなものだという資料は揃っているか?
    サプライヤから資料を提出、収集して検討する
    例)利用規約、SLA
      品質管理基準、開発管理基準、運用管理基準
      文書管理規定、記録
      運用会社が取得している第3者認証
      要員管理、教育計画、記録など
      変更管理(バージョンアップ)の開示(運用・開発環境)
      運用体制(ハード、ソフトウェア)→データ変更・削除のリスクなど
      サプライヤからの委託先、その管理
  • システム利用規約を確認したか?
    入力データの取扱い・・運用会社がデータに触れる場合の確認
    サービスの停止・・・・サービスが停止される可能性の確認
    サービスの廃止・・・・サービス廃止される可能性の確認
    保証範囲・・・・・・・最終的なデータ保全は基本的に保証されない
    委託・・・・・・・・・第3者に開発、運用などを委託する可能性
  • システムのSLA(Service Level Agreement)サービス品質保証を確認したか?
    SaaS向けSLAガイドライン|経産省
    例)
    ・可用性
     サービス時間、計画停止予定通知、サービス稼働率、ディザスタリカバリ、
     重大障害時の代替手段、代替措置で提供するデータ形式、アップグレード方針
    ・信頼性
     平均復旧時間、システム監視基準、障害通知プロセス、障害通知時間、
     障害監視間隔、サービス提供状況の報告方法、ログ取得
    ・性能
     オンライン応答時間、バッチ処理時間、同時接続利用者数
    ・サポート
     提供時間帯(障害対応)、提供時間帯(一般問合)
    ・データ管理
     バックアップの方法、バックアップデータの保存期間、データ消去の要件
    ・セキュリティ
     公的認証取得の要件、第三者評価、情報取扱者の制限、情報取扱い環境、通信の暗号化レベル
  • マルチクライアントか?自社専用サーバーか。
    ネットワークも含めて、自社専用になっている方が説明しやすい
    マルチクライアントであったときは、データ混在などのリスクを検討
  • 利用するシステムは、SaaS、PaaS、IaaSのどれか
    簡単に記すると
    ・SaaS:利用するコンピュータ化システムも含めて。
        マネジメントシステムと呼ばれる
        正確にはマネジメントしてくれるシステム。。
     PaaS:ハードとOS
     IaaS:ハードだけ
  • システムカテゴリーはどのようにするか?
    サーバー上で稼働するシステムでカテゴリー3は非常に稀だと思われる
    ・カテゴリ3:構成設定なし
    ・カテゴリ4:構成設定あり(ワークフロー設定など)
    ・カテゴリ5:コーティングあり(スクリプト、SQLなど含む)
  • 物理的セキュリティ
    ・データセンターのおおよその所在地(激甚災害の場合の影響度把握)
    ・設備状況を確認したか
     例)サーバー配置、冷却装置、ネットワーク設備
    ・入退出管理はどの様になっているか
     例)入退出認証(人、時刻)、物品持込み持ち出しなどのシステム、記録
  • ネットワーク構成|ER/ES要件
    ・オープンシステムか、クローズドシステムか
     ・クローズドシステム
      ER/ES指針から
      >システム内の電磁的記録に責任を持つ者によって、システムへのアクセスを管理されていないシステム
      システムまでのネットワーク経路を専用線、VPN、IPアドレス固定などを実施が必要 
     ・オープンシステム
      ER/ES指針から
      >システム内の電磁的記録に責任を持つ者によって、システムへのアクセスを管理されているシステム
      >電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を
      >確保するために必要な手段を適切に実施すること。
      >追加手段には、電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる。
      ということで
      だれでもログイン画面にアクセスできるようなシステムはオープンシステムと定義される。 
  • システムのセキュリティは十分か?
    ・ID、パスワードの利用
    ・システムの利用は個人毎でのIDが必要
    ・2要素認証
    ・パスワードの定期的変更は推奨されない *1
  • 端末はGMP業務専用か?インターネットにアクセスできる端末か?
  • DI観点
    ・システム間でデータ連携する場合、「生データ」をどれと規定するか。
    ・印刷ができるようにしておく
  • 個人情報管理
    基本的に自社の個人情報保護方針に従って取り扱う。
  • 監査証跡が取れるか|変更管理
    情報システムで実施された活動の記録。人の作業による活動、システムが自動で実施する活動のどちらにも適用されます。システムの情報を利用される場合にその事実そのままに記録されているか(真正性)が一番のポイント。基本的には情報を、登録、変更、削除する場合は、いつ、誰が、何を、理由を残すことです。変更前の記録、変更後の記録があれば一番わかりやすいといえます。
    ・自動的に取得できているか。
    ・開発、設定内容(運用会社、自社)・・・プログラム変更、インフラ変更など
    ・利用(自社)・・・・・・・・・・・・・ログイン、データ登録・変更、ダウンロード(参照は不要)
    ・運用(運用会社、自社)・・・・・・・・ユーザー登録、権限付与など
    ・変更削除等できないシステムになっているか
    ・「監査証跡の確認した」という記録が必要
    ・監査証跡レビューは、その承認ごとが推奨されている
    ・監査証跡は印刷可能のしておく
  • 時刻設定|タイムスタンプ
    ・時刻設定は自動で時刻サーバーなどで同期されているか
    ・時刻設定は手動で変更で来ないようになっているか
    ・日時、時刻は他の運用、システムと同期が取れているか
    ・時刻設定は日常点検などされているか
  • ワークフロー
    ・電子署名の要件を満たしているか→承認時にID、パスワード入力
    ・ワークフロー(ルート)はシステムに設定されているものを利用するようになっているか
    ・ルートを利用者が変更できないようになっているか
    ・運用中にルートに関わる内容に変更が出る場合の対応検討
     ルート変更、組織変更、申請者・承認者の異動
  • 文書管理
    ・1番最初からシステムに登録しているか?
     紙に記録してシステムに登録しているか?→生データの定義
    ・生データ(最初に記載されたデータ)が紙の場合は紙の保存が必要
  • 障害
    ・障害検知
    ・一時的に紙運用に戻すことを規定しておく。また、システム復旧時の対応も規定しおく。データの不正語など内容に手段が必要。オリジナル情報がシステムにしかなく、データが喪失している可能性も考えられる。また、紙管理となってしまった工程の内容をシステムに登録する手順も必要となる。
  • 冗長性
    ・スタンバイ(ホット、コールド)を確認する
  • バックアップ、リストア
    ・薬事法及び関連法規、関連通知が定める期間保存できるか
    ・バックアップとアーカイブとは異なる
     アーカイブ :一定期間を越えた、通常利用しないデータを別エリアに保管すること
           「ちょっと避けとく」という感じ
     バックアップ:データが破損などした場合に復元するためのデータ
            アーカイブデータのバックアップも必要である 
    ・バックアップ取得方法を確認する
     この単位でリストアできる範囲が決まる。
     例)テーブル単位、DB単位、システムまるごと、サーバーまるごと、複合
       単位(時間、日、月)、保存期間、保存媒体、保管場所
    ・バックアップが変更されないように保管されているか
    ・データはエディターなどで簡単に見れるものか(例:CSVとか)
    ・データが固有システムである場合、そのシステムをデータ保有期間は維持できるか
    ・メタデータ、監査証跡も含めて保管されているか
    ・バックアップは真正コピーという扱いになる
    ・サプライヤーのバックアップだけで良いか検討する
     システム以上の場合のみ利用されるもので、通常は利用者の都合ではリストアできない
     例)このテーブルだけ戻したいとか

    ・システム導入時には、バックアップ/リストアテストを実施する
    ・定期点検時などに毎年テスト実施が必要
  • 激甚災害対策
    ・システム再開の規定
    ・遠隔地バックアップ
  • システムをやめるとき(リタイヤメント)に
    ・データが取り出せるか?
    ・同システム中で削除できているか?確認書は提出いただけるか?
  • サプライヤ監査の実施
  • 日常点検は実施されているか
    例)
    ・サーバ、システム稼働状況
    ・ネットワーク通信状態
    ・CPU使用率
    ・レスポンスタイム
    ・ディスク容量使用率
    ・OSログイン履歴
    ・DB確保容量使用率
    ・DB監査ログ
    ・バッチ処理結果
    ・サーバ、システムエラー監視
  • 自己点検は実施されているか
    例)
    ・日常点検の記録実施状況
    ・定期点検の記録実施状況
    ・変更管理運用の確認
    ・逸脱、是正処置運用の確認
    ・管理者、利用者の教育訓練の確認
  • 定期点検は実施されているか
    例)
    ・プログラムや構成の内容に不正な変更が加えられていないか
    ・定められた仕様通りのバージョンか
    ・バリデートされた状態が維持できているか
    ・変更管理(変更手続き、変更事項の検証、教育訓練、SOPの改訂等)、インシデント管理、日常点検
    ・セキュリティ管理(権限付与管理を含む)が適正に行われているか 
    ・定期的に交換するべき部品等が適切に交換されているか
    ・クロック、計測機器等の校正が行われズレの補正が行われているか
    ・自己点検の目的はGMPの観点から自社のGMP管理方針(品質マニュアル、各種手順書)、コンピュータ化システム管理規定を順守して適切な製造管理及び品質管理を確保しているか確認し、必要な場合品質マネジメントレビューを通してGMP体制(人、手順、機器、システム)の改善を勧めるために行うである

出典

*1 総務省「国民のための情報セキュリティサイト:安全なパスワード管理」
*2 コンピュータ化システム適正管理 ガイドライン|CSV
*3 コンピュータ化システム適正管理 ガイドラインに関する質疑応答集(Q&A) 
*4 医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について(ER/ES指針)
*5 PIC/S GMPガイドライン anex11  コンピューター化システム
*6 FDA 21CFR Part11(連邦法第21章第11条)
*7 FDA DIガイダンス(ドラフト)2016年4月15日Guidance for Indsutry Data Integrity and Compliance With CGMP
*8 MHRA GMP DIガイダンス(正式版)2015年3月MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015
*9 MHRA GxP DIガイダンス(パブリックコメント用)2016年7月MHRA GxP Data Integrity Definitions and Guidance for Industry Draft version for consultation July 2016
*10 WHO DIガイダンス(正式版)2016年5月31Guidance on Good Data and Record Management Practices (GDRP)
*11 PIC/S GMP/GDP DIガイダンス(ドラフト)2016年8月10日GOOD PRACTICES FOR DATA MANAGEMENT AND INTEGRITY IN REGULATED GMP/GDP ENVIRONMENTS