【和訳】PIC/Sのデータインテグリティガイダンス【第17回】

9.5 System security for computerized systems／コンピュータ化システムのシステムセキュリティ
Item: 　System security
項目：　システムセキュリティ
1. Expectation／期待されること
User access controls shall be configured and enforced to prohibit unauthorized access to, changes to and deletion of data. The extent of security controls is dependent on the criticality of the computerized system. 
データへの不正なアクセス、変更、および削除を禁止するために、ユーザーのアクセス制御が設定され、実施されること。セキュリティ管理の程度は、コンピュータ化されたシステムの重要性に依存する。

For example:
例えば、以下のようなものがある。
- Individual Login IDs and passwords should be set up and assigned for all staff needing to access and utilize the specific electronic system. Shared login credentials do not allow for traceability to the individual who performed the activity. For this reason, shared passwords, even for reasons of financial savings, should be prohibited. Login parameters should be verified during validation of the electronic system to ensure that login profiles, configuration and password format are clearly defined and function as intended.
特定の電子システムへのアクセスおよび利用を必要とするすべての従業員に対して、個別のログインIDおよびパスワードを設定し、割り当てるべきである。ログイン認証情報を共有すると、アクティビティ（作業、業務、操作など）を実行した個人への追跡ができない。このため、パスワードの共有は、たとえ経済的な節約のためであっても、禁止されるべきである。ログインプロファイル、構成およびパスワードの形式が明確に定義され、意図されたとおりに機能することを確実にするため、電子システムのバリデーション中にログインパラメータを検証すべきである。

- Input of data and changes to computerized records should be made only by authorized personnel. Companies should maintain a list of authorized individuals and their access privileges for each electronic system in use.
データの入力およびコンピュータ化された記録の変更は、権限を与えられた者のみが行うべきである。企業は、使用中の各電子システムについて、権限を有する者とそのアクセス権のリストを維持すべきである。

- Appropriate controls should be in place regarding the format and use of passwords, to ensure that systems are effectively secured. 
システムが効果的に保護されていることを保証するために、パスワードの形式と使用に関して適切な管理を行うべきである。

- Upon initially having been granted system access, a system should allow the user to create a new password, following the normal password rules.
システムへのアクセスが最初に許可された時点で、システムは、ユーザーが通常のパスワード規則に従って、新しいパスワードを作成できるようにすべきである。

- Systems should support different user access roles (levels) and assignment of a role should follow the least-privilege rule, i.e. assigning the minimum necessary access level for any job function. As a minimum, simple systems should have normal and admin users, but complex systems will typically requires more levels of users (e.g. a hierarchy) to effectively support access control.
システムは、様々なユーザーのアクセスロール（レベル）をサポートし、ロール（役割）の割り当ては、最小権限の規則（すなわち、あらゆる職務に対して、必要最小限のアクセスレベルを割り当てること）に従うべきである。単純なシステムでは、最低限、通常ユーザーと管理者ユーザーを設けるべきであるが、複雑なシステムでは、アクセス制御を効果的にサポートするために、通常、より多くのレベルのユーザー（例えば、階層）が必要となる。

- Granting of administrator access rights to computerized systems and infrastructure used to run GMP/GDP critical applications should be strictly controlled. Administrator access rights should not be given to normal users on the system (i.e. segregation of duties). 
GMP/GDP にとって重要なアプリケーションを実行するためのコンピュータ化されたシステムおよびインフラに対する管理者アクセス権の付与は、厳密に管理されなければならない。管理者アクセス権は、そのシステム上の通常のユーザーに与えてはならない（すなわち、職務の分離）。

- Normal users should not have access to critical aspects of the computerized system, e.g. system clocks, file deletion functions, etc.
通常のユーザーは、システムクロック、ファイル削除機能など、コンピュータ化システムの重要な側面にアクセス可能であってはならない。

- Systems should be able to generate a list of users with actual access to the system, including user identification and roles. User lists should include the names or unique identifiers that permit identification of specific individuals. The list should be used during periodic user reviews.
システムは、そのシステムに実際にアクセスできるユーザーのリスト（ユーザーの識別と役割を含む）を生成することができなければならない。ユーザーリストには、特定の個人の識別を可能にする名前または一意の識別子が含まれるべきである。このリストは、定期的なユーザーレビューの際に使用されるべきである。