GCP監査入門【第6回】

　治験依頼者及び実施医療機関並びに治験の実施に係るその他の施設における治験のシステムが適正に構築され、かつ適切に機能しているか否かを評価するために行うのがシステム監査であるとGCPで定義されている。今回はこのシステム監査の計画、実施、報告について紹介しよう。

システム監査の対象
　システム監査の対象となる「システム」は、ICH E6がStep 4に進んだ時のISO9001:1994で「相互に関連する又は相互に作用する要素の集まり」と定義し、この要素とは「組織構造、手順、プロセス、資源」であること、そしてこの4つの要素についてGCP監査入門【第4回】で紹介した。つまりシステム監査は、特定の治験のデータを対象とするのではなく、複数の治験に共通する要素を対象として監査を行う。

システム監査の実施時期
　このようにシステム監査は特定の治験を対象とするのではない。例えば、GCP組織が適切に構築され維持されているか、あるいは担当者の継続研修が年間計画どおりに実施されているかどうかを監査対象とするのであれば、その監査頻度は1-2年に1回程度で良いだろう。手順書を毎年定期的に見直して改訂するのであれば、そのタイミングで監査を行うことで良いであろう。このような場合は定期的にシステム監査を実施することになり、一方で、治験薬保管施設の空調設備を変更したときや資料保管施設を移設したときに監査を行うのであれば、そのシステム監査は不定期で行うことになる。

　上記で述べた監査時期は、多くの治験が常に進行しているような比較的大手といわれる製薬企業の場合に当てはまるのだが、年に1-2本程度の治験を行う製薬企業やバイオベンチャーの場合は1年に1度の定期的なシステム監査を計画しても、監査対象がないこともある。このような場合は、治験を開始するタイミングで、その治験の依頼と管理に係るシステムが適正に構築されていることを確認することでよい。例えば、個々の治験の監査における治験開始時監査（初回監査）のタイミングで、治験依頼者としての組織体制や手順書の整備状況、あるいは担当者の教育訓練の実施状況などが監査対象となる。したがって、システム監査は特定の治験を対象とするのではないと書いたが、治験の数が少ない治験依頼者の場合は、個々の治験の監査を行う際に、システム監査の視点で実施することになる。

監査計画書の作成
　監査計画書を作成することを監査手順書に定めておかなければならないが、監査計画書に何を書くのかは特段の決まりはないことを前回紹介した。では、システム監査の監査計画書には何を書いたら良いのかを紹介する。
　治験のシステムの監査では監査対象と項目を絞り、監査計画書を作成するのだが、治験のシステムは多岐にわたるため、監査対象や監査方法を明確にすることが必要である。例えばモニタリング手順書やメディカルライティングの手順書を監査対象とするのであれば、現行の手順書の記載内容に陳旧化がないことを確認することや、改訂案がGCPを遵守した記載内容となっていることを確認することを監査の目的としてもよい。あるいは、治験薬保管施設がGCPと手順書を遵守して管理されていることや、モニターの教育訓練がGCPと手順書を遵守して行われていることを確認することが監査の目的になるであろう。
　監査の基準となる文書、すなわち何を基準として適不適を判断するのかという文書のことを基準文書といい、これも監査計画書で明記しておいた方が良い。例えば、業務手順書や教育訓練を監査対象とするのであればGCP省令第4条が、健康被害補償措置が監査対象ならばGCP省令第14条、治験薬管理が監査対象であればGCP省令第16条や第17条の他に治験薬GMP通知などが、それぞれの監査の基準文書となる。この他に施設設備が監査であれば消防法や建築基準法、さらにISO9000などを基準文書として明記することもあるかもしれない。

リスクに基づく取組
　治験依頼者は治験の全ての過程において品質マネジメントのためのシステムを履行することがGCP省令第4条ガイダンスで記載されている。そして品質マネジメントの詳細については、令和元年に通知された「治験における品質マネジメントに関する基本的考え方について」を参照することとされている。すなわち、リスクに基づく取組を利用することが治験では求められていることから、これをシステム監査で考えてみると、例えば手順書逸脱が頻繁に発生するようであれば手順書の構成や担当者の教育訓練が監査対象になり、特定のモニターにモニタリング不備があるのならばモニターの教育訓練方法の妥当性やモニター認定方法の妥当性を検証することになろう。

　システム監査では次の3つの「バックアップ」を念頭におくことが必要である。ヒトのバックアップ、データのバックアップ、そして電源のバックアップ。まずヒトのバックアップとは、業務を担当できる者は一人のみではなく複数人が可能とすべきである。担当者の事故や病気等に備えて万が一の場合は速やかに指名されて引継ぎができる状態でなければならない。
　データのバックアップは、地震や火災等の災害によりデータが破損しても、速やかに完全なデータ復旧が可能となるようにしておくことである。バックアップデータは、これらの災害の影響が及ばないように300km以上の遠隔地で保存するように言われてきたが、近年では500km以上とも言われている。
　電源のバックアップは、災害等に起因する停電により空調機やサーバー等の機器が停止しないように、あるいは停止した場合に速やかに復電できるようにすることを意味している。そのためには機器類を自家発電やUPS（無停電電源装置）等に接続することである。医療機関では検査室や手術室の重要な機器は医用コンセントに接続されていることが多い。医用コンセントはJIS規格によって赤色と緑色とがあるが、一般的には赤コンセント、すなわち商用電源ではなく非常用電源に接続することが多い。