【和訳】PIC/Sのデータインテグリティガイダンス【第14回】

9.3 Validation and Maintenance／バリデーションとメンテナンス
Item:  System Validation & Maintenance
項目： システムのバリデーションとメンテナンス
1. Expectation／期待されること
Regulated companies should document and implement appropriate controls to ensure that data management and integrity requirements are considered in the initial stages of system procurement and throughout system and data lifecycle. For regulated users, Functional Specifications (FS) and/or User Requirement Specifications (URS) should adequately address data management and integrity requirements.
規制対象企業は、システム調達の初期段階、およびシステムとデータのライフサイクル全体を通じて、データ管理と完全性の要件が考慮されていることを保証するために、適切な管理を文書化し、実施しなければならない。規制対象となるユーザーに対しては、機能仕様書（FS）やユーザー要求仕様書（URS）において、データ管理および完全性の要件を適切に取り扱うべきである。

Specific attention should be paid to the purchase of GMP/GDP critical equipment to ensure that systems are appropriately evaluated for data integrity controls prior to purchase.
GMP/GDPに不可欠な機器を購入する際には、購入前にデータインテグリティの管理についてシステムが適切に評価されていることを確認するため、特に注意を払う必要がある。

Legacy systems (existing systems in use) should be evaluated to determine whether existing system configuration and functionality permits the appropriate control of data in accordance with good data management and integrity practices. Where system functionality or design of these systems does not provide an appropriate level of control, additional controls should be considered and implemented.
レガシーシステム（使用中の既存システム）は、既存のシステム構成や機能が、適切なデータ管理と完全性の実践に従ったデータの適切な管理を可能にするかどうかを判断するために評価すべきである。これらのシステムの機能または設計が適切なレベルの管理を提供しない場合、追加の管理を検討し、実施する必要がある。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク／チェックすべき項目
・Inadequate consideration of DI requirements may result in the purchase of software systems that do not include the basic functionality required to meet data management and integrity expectations.
DI要件の検討が不十分な場合、データ管理・完全性に関する期待を満たすために必要な基本機能を含まないソフトウェアシステムを購入してしまう可能性がある。
・Inspectors should verify that the implementation of new systems followed a process that gave adequate consideration to DI principles.
査察官は、新しいシステムの導入が、DIの原則を十分に考慮したプロセスに従っているかどうかを確認する必要がある。
・Some legacy systems may not include appropriate controls for data management, which may allow the manipulation of data with a low probability of detection.
レガシーシステムの中には、データ管理のための適切な制御手段が含まれていないものがあり、これにより、検出される可能性の低いデータ操作が可能になっている場合がある。
・Assessments of existing systems should be available and provide an overview of any vulnerabilities and list any additional controls implemented to assure data integrity. Additional controls should be appropriately validated and may include:

• Using operating system functionality (e.g. Windows Active Directory groups) to assign users and their access privileges where system software does not include administrative controls to control user privileges;
• Configuring operating system file/folder permissions to prevent modification/deletion of files when the modification/deletion of data files cannot be controlled by system software; or
• Implementation of hybrid or manual systems to provide control of data generated.

・既存システムの評価が入手可能であるべきであり、その評価は脆弱性の概略を示し、データの完全性を保証するために実施された追加的な制御手段を列挙したものでなければならない。追加の制御手段としては以下のようなものが考えられるが、いずれも適切に検証されていなければならない。

• システムソフトウェアがユーザー権限を制御するための管理的制御を含んでいない場合に、オペレーティングシステムの機能（例えば、Windows Active Directoryグループ）を使用して、ユーザーとそのアクセス権限を割り当てること。
• データファイルの変更／削除をシステムソフトウェアで制御できない場合に、オペレーティングシステムのファイル／フォルダのアクセス許可をファイルの変更／削除を防止できるように設定すること。
• 生成されたデータの制御を行うためのハイブリッドシステムまたは手動システムの導入。