ラボにおけるERESとCSV【第87回】

FDA 483におけるデータインテグリティ指摘（57）

7．483における指摘（国内）
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見 (Observation) の概要を紹介する。

■QQQ社　2019/09/26　483　その3
施設：製剤工場

■Observation 2
2018年査察における指摘の繰り返しである。

A） MESやMHS（Material Handling System：物流管理システム）などの電子システムが不適切である。
　　これらのシステム中のオリジナルデータやメタデータは、データ修正において上書きされてしまう。
　　ITグループによると、修正後はデータもメタデータも維持されているが、修正前のデータと
　　メタデータは削除されるとのことであった。

B） QAがバッチ記録の電子記録や監査証跡をレビューしていない。
　　QAはMESにおいてシステム管理者の作業ログをレビューしておらず、権限のない作業が
　　なかったことを確証できていない。
 

★解説
2018年査察における指摘の繰り返しとのことであるが、2017年査察の誤りであると思われる。2017/9/1付けの483を含めて以下に解説する。

■Observation 2
A） MESやMHS（Material Handling System：物流管理システム）において、データ修正前のデータと
　　メタデータは上書きされ維持されていない。

本指摘はMESおよびMHSに適切な監査証跡機能が無かったための指摘であると考えられる。電子記録の真正性を保証するには、厚労省ERES指針に記載された下記要件が必要である。
　　• セキュリティ（権限設定）
　　• 監査証跡
　　• バックアップ
　　厚労省ERES指針：
　　医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について
　　(厚労省局長通知　薬食発第0401022号　2005/4/1)

真正性とは：
　　電子記録が完全、正確であり、かつ信頼できるとともに、作成、変更、削除の責任の所在が明確である
　　こと。
監査証跡とは：
　　人によるデータ変更やシステム操作の履歴であり、下記の明示が求められる。
　　　　・変更者氏名　・変更日時　・元のデータ　・変更理由
　監査証跡は以下の２つに分類すると考えやすい。
　　• データや設定の生成・変更・削除の履歴
　　• 重要操作の履歴
　どのようなデータ・設定・操作を監査証跡の対象とするかは、装置・機器・システムなど製品毎あるいは
　供給者毎に考え方が異なる。どのデータ・設定・操作に監査証跡が必要かは、ユーザーが決めるのである。
　後述するPIC/S査察官むけデータインテグリティガイダンスにもその旨記載されている。

装置・機器・システムなどを導入する場合、以下の手順が必要である。
　① どのようなデータ・設定・操作に監査証跡が必要かのユーザー要件を設定する
　② 各社の製品比較評価において、監査証跡機能も評価項目とする
　③ 導入決定した製品の監査証跡機能を精査する
　④ ユーザー要件を満たせない監査証跡機能は手順対応とする
　　 (監査証跡機能100点満点の製品を導入できるとは限らない)

既に導入済みの場合は、上記の①③④を実施することをお薦めする。すなわち：
　① どのようなデータ・設定・操作に監査証跡が必要かのユーザー要件を設定する
　　 (データインテグリティURS策定)
　③ 導入した製品の監査証跡機能を精査する
　　 (データインテグリティGAP分析)
　④ ユーザー要件を満たせない監査証跡機能に対し、設定変更や手順対応等による対応を実施する
　　 (データインテグリティGAP是正)

本483には、どのようなデータに対し監査証跡の不備が指摘されたのか記載されていない。上記の①③④を実施しており、査察官にデータインテグリティ対応説明が出来たならこのような指摘は受けなかったものと推測する。たとえば、監査証跡は不要とユーザーが判断していたデータに対し査察官がそうとは知らずに監査証跡を求めたのかもしれない。上記①③④を実施していれば、監査証跡は不要であることを記録により説明でき査察官に納得してもらえたはずである。

2017/9/1付け483の関連部分を以下に紹介する。
　　• 2014/12～2016/12
　　　MESのバリデーションとMBR（Master Batch Record）の準備がなされていた。
　　• 2017/1
　　　MBRを実導入したが、導入したMBRをテストしていなかった。
　　• 2017/8/4
　　　リリーステストは実施していないのに「リリーステストは不要でありそのロットはQC承認済みである」
　　　とのエラー表示が「Quality Test」画面に表示された。
2018年査察（2017年査察の誤り）における指摘の繰り返しであるとのことであるが、MESに対する評価不足(バリデーション不足)が継続していると言いたかったのではないかと推測する。

この査察期間は2017/8/24～2017/9/1であったが、査察実施前の2017/8/4におけるエラー表示を査察官なぜが取り上げたか？　査察官は以下などの一覧から数件を抽出しその処理を確認する。これは、国内当局のコンピュータ査察でも同様である（参照：第30回GQP・GMP研究会　パネルディスカッション「コンピュータ化システム適正管理ガイドライン」2010/10/27開催　日薬連・品質委員会主催）。
　　• システムトラブル一覧
　　• 逸脱一覧
　　• アラーム履歴一覧
　　• エラー履歴一覧
　　• 変更一覧
これらの事象に対する処理を確認すると実際の運用が確認できるからである。CAPA（是正措置・予防措置）が期日内に完了していないという指摘は非常に多い。予防措置（再発防止策）が不十分という指摘も多い。2021/8/1施行の改正GMP省令において是正措置と予防措置が新たにGMP要件となったので留意されたい。

2017年査察において査察官は、MESのアラーム履歴もしくはエラー履歴を調査したのだと思われる。「リリーステストは不要でありそのロットはQC承認済みである」とのエラー表示により、査察官はバリデーション不足と判断したのであろう。2019年査察における監査証跡機能の不備は、2017年に指摘したバリデーション不足との指摘が解消されていないのが原因だと判断し、2018年査察（2017年査察の誤り）における指摘の繰り返しと記載したのだと推測する。

余談ではあるが、査察日数は以下のとおりである。
　　2017年査察    7日間
　　2019年査察    7日間
定期実施されるGMP査察は通常5日間であるが上記の両査察ともそれより長くなっている。おそらく新薬申請に伴うPAI（Pre-Approval Inspection　承認前査察）だと思われる。

PAIの目的はCPGM 7346.832に以下の様に記載されている。
　　目的1：量産準備はできているかを確認
　　目的2：承認申請書に適合しているかを確認
　　目的3：データインテグリティの監査
　　　　　  生データ、ハードコピー、電子記録を監査し、承認申請書のCMCセクションに記載されたデータが
　　　　　  信頼できるものであることを確認する。
  　　　　　安定性やバイオバッチデータなど全ての関連データがCMCセクションに提出されていることを確認
　　　　　  し、CDERの製品レビュアーが提出データが完全で正確であると信頼できるようにする。
　　　　　  (承認申請データのインテグリティを確認し、問題なければ承認審査を開始するということである）
CPGM：Compliance Program Guidance Manual（FDAのGMP 査察官用マニュアル）