【和訳】PIC/Sのデータインテグリティガイダンス【第18回】

2021/12/03 品質システム

【第18回】データマネジメント(いわゆるデータインテグリティ:DI)のPIC/Sガイドライン最終版の和訳です。

2. Expectation/期待されること
Computerized systems should be protected from accidental changes or deliberate manipulation. Companies should assess systems and their design to prevent unauthorized changes to validated settings that may ultimately affect data integrity. Consideration should be given to:
コンピュータ化されたシステムは、偶発的な変更や意図的な操作から保護されなければならない。企業は、最終的にデータの完全性に影響を与える可能性のある、有効な設定に対する不正な変更を防止するため、システムとその設計を評価しなければならない。以下の点を考慮すべきである。

- The physical security of computerized system hardware:

  •  Location of and access to servers;
  •  Restricting access to PLC modules, e.g. by locking access panels.
  • Physical access to computers, servers and media should be restricted to authorized individuals. Users on a system should not normally have access to servers and media.

- コンピュータ化システムのハードウェアの物理的セキュリティ

  •  サーバーの設置場所およびサーバーへのアクセス。
  • アクセスパネルをロックするなどして、PLC(製造設備などを自動的に制御する装置。Programmable Logic Controller)モジュールへのアクセスを制限する。
  • コンピュータやサーバー、メディアへの物理的なアクセスは、許可された個人に制限されるべきである。システム上のユーザーは、通常、サーバーおよびメディアへのアクセス権を持つべきではない。

- Vulnerability of networked systems from local and external attack;
- ネットワークシステムのローカルおよび外部からの攻撃に対する脆弱性。

- Remote network updates, e.g. automated updating of networked systems by the vendor.
- ベンダーによるネットワークシステムの自動更新など、リモートでのネットワークの更新。

- Security of system settings, configurations and key data. Access to critical data/operating parameters of systems should be appropriately restricted and any changes to settings/configuration controlled through change management processes by authorized personnel.
- システム設定、構成および主要データのセキュリティ。システムの重要なデータや動作パラメータへのアクセスを適切に制限し、権限のある担当者による変更管理プロセスを通じて設定/構成の変更を制御すること。

- The operating system clock should be synchronized with the clock of connected systems and access to all clocks restricted to authorized personnel.
- オペレーティングシステムのクロックは、接続されているシステムのクロックと同期させ、すべてのクロックへのアクセスは、権限のある担当者に制限すること。

- Appropriate network security measures should be applied, including intrusion prevention and detection systems.
- 侵入防止および検知システムを含む、適切なネットワークセキュリティ対策を適用すること。

- Firewalls should be setup to protect critical data and operations. Port openings (firewall rules) should be based on the least privilege policy, making the firewall rules as tight as possible and thereby allowing only permitting traffic.
- 重要なデータやオペレーションを保護するために、ファイアウォールを設定すること。
ポートオープン(ファイアウォールのルール)は、最小権限ポリシーに基づき、ファイアウォールのルールを可能な限り厳しくすることで、許可されたトラフィックのみを許可するようにすべきである(特定のポート番号のみアクセス可能とする。)

Regulated users should conduct periodic reviews of the continued appropriateness and effectiveness of network security measures, (e.g. by the use of network vulnerability scans of the IT infrastructure to identify potential security weaknesses) and ensure operating systems are maintained with current security measures.
規制対象となるユーザーは、ネットワークセキュリティ対策の継続的な適切性と有効性について定期的なレビューを行い(例えば、潜在的なセキュリティ上の弱点を特定するためにITインフラストラクチャのネットワーク脆弱性スキャンを使用するなど)、オペレーティングシステムが最新のセキュリティ対策で維持されていることを確認する必要がある。

Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的リスク/チェックすべき項目
・Check that access to hardware and software is appropriately secured, and restricted to authorized personnel.
ハードウェアおよびソフトウェアへのアクセスが適切に保護され、権限を持つ者に制限されていることを確認する。
・Verify that suitable authentication methods are implemented. These methods should include user IDs and passwords but other methods are possible and may be required. However, it is essential that users are positively identifiable. 
適切な認証方法が実施されていることを確認する。これらの方法にはユーザーIDとパスワードが含まれるべきであるが、他の方法も可能であり、場合によっては必要となる。ただし、ユーザーを確実に識別できることが不可欠である。
・For remote authentication to systems containing critical data available via the internet; verify that additional authentication techniques are employed such as the use of pass code tokens or biometrics.
インターネット経由で利用可能な重要データを含むシステムへのリモート認証については、パスコードトークンや生体認証の使用など、追加の認証技術が採用されていることを確認すること。
・Verify that access to key operational parameters for systems is appropriately controlled and that, where appropriate, systems enforce the correct order of events and parameters in critical 
sequences of GMP/GDP steps.
システムの主要な動作パラメータへのアクセスが適切に制御されていること、および必要に応じて、GMP/GDP上重要な一連の工程におけるイベントおよびパラメータについて、正しい順序がシステムによって強制されていることを確認すること。

2ページ中 1ページ目

執筆者について

脇坂 盛雄

経歴 1979年エーザイ株式会社入社、9年間、品質管理と21年間、品質保証を担う。
専門領域はGQP品質保証、注射剤及び固形剤の異物対応、品質リスクの発見と低減対応 ・医薬品/食品の表示校閲、製品回収リスク回避対策 ・逸脱/苦情対応、変更管理(一変/軽微変更)対応。品質保証責任者(品責)、統括部長および理事を歴任し、2013年9月末に退職。
現在は企業のコンサル・顧問を行う傍ら講演会講師、書籍執筆などを精力的に行っている。
※このプロフィールは掲載記事執筆時点での内容となります

連載記事

27件中 1-3件目

コメント

この記事へのコメントはありません。

セミナー

2025年7月2日(水)10:30-16:30~7月3日(木)10:30-16:30

門外漢のためのコンピュータ化システムバリデーション

2025年8月21日(木)10:30-16:30

GMP教育訓練担当者(トレーナー)の育成

CM Plusサービス一覧

※CM Plusホームページにリンクされます

関連サイト

株式会社シーエムプラス

本サイトの運営会社。ライフサイエンス産業を始めとする幅広い産業分野で、エンジニアリング、コンサルティング、教育支援、マッチングサービスを提供しています。

ライフサイエンス企業情報プラットフォーム

ライフサイエンス業界におけるサプライチェーン各社が提供する製品・サービス情報を閲覧、発信できる専門ポータルサイトです。最新情報を様々な方法で入手頂けます。

海外工場建設情報プラットフォーム

海外の工場建設をお考えですか?ベトナム、タイ、インドネシアなどアジアを中心とした各国の建設物価、賃金情報、工業団地、建設許可手続きなど、役立つ情報がここにあります。

※関連サイトにリンクされます