【和訳】PIC/Sのデータインテグリティガイダンス【第15回】

3. Expectation／期待されること
For new systems, a Validation Summary Report for each computerized system (written and approved in accordance with Annex 15 requirements) should be in place and state (or provide reference to) at least the following items:
新規システムについては、各コンピュータ化システムのバリデーション概要報告書（附属書15の要求事項に従って作成され、承認されたもの）が整備されており、少なくとも以下の項目が記載されている（または参照先が示されている）必要がある。
- Critical system configuration details and controls for restricting access to configuration and any changes (change management).
重要なシステム構成の詳細と、構成および変更点へのアクセスを制限するための管理（変更管理）。
- A list of all currently approved normal and administrative users specifying the username and the role of the user.
現在承認されているすべての通常ユーザーおよび管理ユーザーのリスト（ユーザー名およびユーザーの役割を明記）
- Frequency of review of audit trails and system logs.
監査証跡およびシステムログのレビューの頻度。
- Procedures for:c

• reating new system user;
• modifying or changing privileges for an existing user;
• defining the combination or format of passwords for each system 
• reviewing and deleting users;
• back-up processes and frequency;
• disaster recovery;
• data archiving (processes and responsibilities), including procedures for accessing and reading archived data;
• approving locations for data storage.

以下の手順

• 新しいシステムユーザーの作成。
• 既存のユーザーの権限の修正または変更。
• 各システムのパスワードの組み合わせまたはフォーマットの定義。 
• ユーザーのレビューおよび削除
• バックアップのプロセスおよび頻度
• 災害復旧
• アーカイブ化されたデータへのアクセスと読み取りの手順を含む、データのアーカイブ保管（プロセスと責任）。
• データ保存場所の承認。

- The report should explain how the original data are retained with relevant metadata in a form that permits the reconstruction of the manufacturing process of the analytical activity.バリデーション概要報告書には、オリジナルデータが関連するメタデータとともに、製造工程や分析作業が再現できるような形式で、どのように保存されているかが説明されている必要がある。

For existing systems, documents specifying the above requirements should be available; however, need not be compiled into the Validation Summary report. These documents should be maintained and updated as necessary by the regulated user.
既存システムについては、上記の要求事項を明記した文書が入手可能であるべきであるが、バリデーション概要報告書の形をとる必要はない。これらの文書は、規制対象となるユーザーが必要に応じて維持・更新すべきである。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク／チェックすべき項目
・Check that validation systems and reports specifically address data integrity requirements following GMP/GDP requirements and considering ALCOA principles.
バリデーションシステムおよび報告書において、GMP/GDP の要求事項に従い、またALCOA の原則を考慮して、データインテグリティの要求事項が具体的に対応されていることを確認する。
・ System configuration and segregation of duties (e.g. authorization to generate data should be separate to authorization to verify data) should be defined prior to validation, and verified as effective during testing.
システム構成および職務分掌（例：データを生成する権限とデータを検証する権限は別であるべきである）はバリデーションに先立って定め、テストの際に有効であることを確認すべきである。
・Check the procedures for system access to ensure modifications or changes to systems are restricted and subject to change control management.
システムへのアクセスに関する手順が、システムの修正や変更を制限するものとなっており、変更管理の対象であることを確認すること。
・Ensure that system administrator access is restricted to authorized persons and is not used for routine operations. 
システム管理者のアクセス権が権限のある者に限定され、日常業務に使用されていないことを確認する。
・Check the procedures for granting, modifying and removing access to computerized systems to ensure these activities are controlled. Check the currency of user access logs and privilege levels, there should be no unauthorized users to the system and access accounts should be kept up to date.
コンピュータ化システムへのアクセスを許可、変更、削除するための手順を確認し、これらの活動が管理されていることを確認する。ユーザーのアクセスログや権限レベルが最新であることを確認する。システムに未承認のユーザーがいないこと、およびアクセスアカウントが最新の状態に保たれていることが望ましい。
・There should also be restrictions to prevent users from amending audit trail functions and from changing any pre-defined directory paths where data files are to be stored.
また、ユーザーが監査証跡機能を修正したり、データファイルを保存するために事前に定義されたディレクトリパスを変更したりすることを防ぐための制限を設ける必要がある。