ラボにおけるERESとCSV【第82回】

FDA 483におけるデータインテグリティ指摘（52）

7．483における指摘（国内）
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見（Observation）の概要を紹介する。

■　PPP社　2019/09/13  483　その3
施設：バイオ原薬工場

■Observation 1　C）
HPLCに使用されているCDS（クロマトデータシステム）の管理が以下の点で不適切である。

1. 上司に管理者権限が与えられており、一時保管されたデータを削除できる。一時保管されたデータを削除することにより規格外のデータを削除出来る。
2. 分析者にシングルインジェクションの権限が与えられている。

★解説
指摘１：
CDS（クロマトデータシステム）のシステム管理者権限が上司に与えられており、規格外となったデータを上司が削除できる。

⇒
システム管理者権限を持っていると、データの変更・削除、監査証跡機能のオン/オフ、監査証跡データの削除、アカウント権限の設定変更、時刻の調整などが出来る。つまり、システム管理者権限をもっていると、データの改ざんや不都合なデータの隠蔽ができてしまう。本指摘では、分析者の上司がこの様なシステム管理者権限をもっているため、組織ぐるみでの不祥事が出来てしまうことが問題となっている。分析業務に係わる職員がシステム管理者権限を持っていると指摘される。システム管理者業務は分析業務の実施に係わらないIT、技術、工務、保全、エンジニアリング、QAなどの部門が担当しなければならない。

分析結果を承認するQAがシステム管理者権限を持っていると問題視する査察官がいるかもしれない。そのような査察官には以下のように説明し、査察官の見解を求めるのがよい。

1. 分析部門で照査・承認された分析データを含んで、試験記録をQAが最終承認するが、QAは分析業務そのものに関与していない。
2. QAは分析部門の一員ではなく、分析部門や製造部門から独立しており、彼らを監査する立場である。
3. QAを疑ったらGMPは成り立たなくなる。
   ちなみに、FDAのｃGMPに品質部門（QA）の責務が以下のとおり規定されている。

§211.22 Responsibilities of quality control unit.
(a) There shall be a quality control unit that shall have the responsibility and authority to approve or reject all components, drug product containers, closures, in-process materials, packaging material, labeling, and drug products, and the authority to review production records to assure that no errors have occurred or, if errors have occurred, that they have been fully investigated. The quality control unit shall be responsible for approving or rejecting drug products manufactured, processed, packed, or held under contract by another company.

§211.22　品質部門の責任
(a) 品質部門を設置し、すべての原料、医薬品容器、栓、中間製品、包装資材、表示材料および医薬品の適否判定をする責任と権限を持たせること。また、製造中に異常がなかったことを保証するために、あるいは異常があった場合はその原因が充分に調査されたことを保証するために、製造記録をレビューする権限を持たせること。契約に基づいて他社で製造、処理、包装、保管された医薬品の適否判定を行う責任を負わせること。

一方、組織が小さい場合などには電子記録の生成・レビュー・承認に係わるQCや製造の職員にシステム管理者権限を与えざるを得ない場合がある。そのような場合の対応方法がPIC/Sの査察官むけデータインテグリティガイダンス（PI 041-1  2021/7/1）の§9.5に記載されている。

その記載内容を以下に解説する。

• GMP業務とシステム管理業務の両方を行う個人に、異なる権限の２つのアカウントを付与し、アカウントを使い分けることにより対応する
• たとえば
  • 測定時は測定者権限アカウント、システム管理を行う場合はシステム管理者権限アカウントでログインする
  • システム管理者権限アカウントには測定権限を与えない
  • 測定者権限アカウントにはシステム管理権限を与えない
  • システム管理者権限アカウントにより行われたすべての変更は可視化しておき、品質システムにおいて承認する（システム管理者権限アカウントの監査証跡を参照し、不適切な操作がなされていないことをQA等が確認し承認する）
  • ただし、この確認・承認は出荷判定までにすませておかないと指摘される場合がある。

    詳細は連載第13回を参照されたい。