お使いのシステムから監査証跡が取得できます

監査証跡がないシステムを御利用の皆様に朗報です

DIデータインティグリティ監査証跡取得システム

システム概要

この監査証跡取得システムは、古いタイプのシステムを御利用しているが、監査証跡が取れていないという企業様向けに開発いたしました。

データベースに更新される情報は、画面から、手作業でなど関係なくすべて取得します。また取得された情報は参照のみで、変更削除はできません。
現状利用のシステムで取得可能な最大限の監査証跡を取得します。

理想的な監査証跡としては以下のようになります。

  1. だれが、いつ、システムを利用したかがわかる情報を保存する。
    ログイン時にユーザーID、パスワードを入力させる。当然、個人別のユーザーIDであることが必須。
  2. データを登録・変更・削除する際にその作業の承認者と実施者が、いつ実施したかが特定できる情報を保存する。
    上記に際して、理由も保存する。
  3. システムでデータが自動的に変更される場合は、その内容も保存する。

監査証跡の豆知識

データインテグリティ(Data Integrity:以下DI)が重要と叫ばれだして、はや5年。

いろいろな解釈がありましたが、そろそろ定義に対して、理解も追いついてきたような気がします。そのDIを考える上では、システムでは「監査証跡」は基本中の基本です。これがなくては、GxP業務に対しては利用できないというのが一般的な評価となってきています。

日本の医薬・製薬企業様ではかなり御利用されていますが、EXCELも監査証跡が取れないので、GxP業務では利用できないと言うのが通説になりつつあります。

監査証跡(audit trail)とは

監査証跡は、情報システムで実施された活動の記録です。人の作業による活動、システムが自動で実施する活動のどちらにも適用されます。システムの情報を利用される場合にその事実そのままに記録されているか(真正性)が一番のポイントだと思います。基本的には情報を、登録、変更、削除する場合は、いつ、誰が、何を、理由を残すことです。変更前の記録、変更後の記録があれば一番わかりやすいといえます。

以下の文章にも監査証跡に関する明記が有ります。

  1. 医薬品等の承認又は許可等に係る申請等に関する電磁的記録・電子署名利用のための指針(ER/ES指針)
  2. コンピュータ化システム適正管理ガイドライン(案)パブリックコメント#22
  3. PIC/SのGMP ANNEX11の10章

最低限の監査証跡としては以下のような対応になります。

  1. だれが、いつ、システムを利用したかがわかる情報を保存する。
    ログイン時にユーザーID、パスワードを入力させる。当然、個人別のユーザーIDであることが必須。
  2. データを登録・変更・削除する際にその作業の承認者と実施者が、いつ実施したかが特定できる情報を保存する。
    上記に際して、理由も保存する。
  3. システムでデータが自動的に変更される場合は、その内容も保存する。