ラボにおけるERESとCSV【第28回】

今回はPIC/Sのデータインテグリティガイダンスの最終回として、以下を解説する。
第9.7節 電子データの保存、アーカイブ、廃棄
第10章 業務委託におけるデータインテグリティ留意点
第11章 データインテグリティ指摘に対応した規制措置
第12章 データインテグリティ不適合の是正


▷ 電子データの保存、アーカイブ、廃棄 (9.7)


表 21 電子データの保存、アーカイブ、廃棄

  期待 期待に適合しないときの潜在リスク
/確認事項
1 オリジナルデータと監査証跡を含むメタデータの全てを保存すること。このデータの保存には、バリデートしたプロセスを用いること。

データがバックアップされるか、データのコピーが作られる場合、バックアップとコピーは、データの無許可アクセス、変更、削除、改変を予防するのと同程度の適切な管理を行うこと。例えば、バックアップを可搬型のハードディスクに取っている企業は、そのハードドライブからデータを削除出来ないようにすること。データのストレージとバックアップに関して、以下のようなさらなる留意点がある。

■解説
アーカイブは正本であるのでハードドライブからデータを削除出来ないようにする必要がある。正本が失われた場合、バックアップが正本となる。従って、バックアップも、アーカイブと同様の管理が必要になる。
- オリジナル記録の全内容と意味が維持されるように動的電子記録の真正コピーを作成することができる。(全ての内容とは、 データとメタデータの全てが含まれていることである)
- データバックアップやコピーにアクセスするのには、適切なソフトウェアとハードウェアを準備しておく必要がある。
- 日常のバックアップコピーは、災害に備え、物理的に離れた遠隔地に保存すること。
- ソフトウェアがアップデートされたとしても、バックアップは規制で決められた保存期間において読むことができること。
■解説
正本が失われた場合、バックアップが正本となる。従って、「アーカイブ」「バックアップ」とも保存期間において見読性を維持しなければならない。
データストレージ、バックアップ、アーカイブのシステムが全てのデータとメタデータを取り込むように設計されているか確認する。これらのシステムが検証されていることの文書化された証拠があること。
2 記録を維持する手順はメタデータを維持する規定を含むこと。このことにより、将来の問合せや調査において、あるバッチに関する作業を再構築できる。  
3 手順書に従い、データを定期的にアーカイブすること。アーカイブのコピーはバックアップデータを保管している場所から離れた場所に物理的に保護しておくこと。

アーカイブ期間にわたり、データはアクセスでき、見読性があり、インテグリティが維持されていること。

調査が必要なときに、アーカイブしたデータをリトリーブする手順があること。アーカイブしたデータをリトリーブする手順を定期的にテストすること。

■解説
バックアップのリストアは異常復旧作業であり、ユーザーの日常作業ではない。それに対し、アーカイブのリストアはユーザーの日常作業である。アーカイブのリトリーブ手順を定期的にテストする目的として以下が考えられる。
①手順の教育訓練
②アーカイブデータが正常であることの確認
③リトリーブソフトウェアが正常であること
 (変更されていないこと)の確認
②についてはハッシュデータで確認すれば、実際にリトリーブする必要はないと考えられる
③については、ソフトウェアが変更されてないことが確認できれば、実際にリトリーブする必要はないと考えられる。とはいえ、定期的にテストしておくのが安全かもしれない。


アーカイブが必要な場合、権限のある人だけがアクセスできるようにし、意図的もしくは不注意による改変や喪失から記録を保護すること。システムを退役せざるを得ない場合、アーカイブしたデータの見読性を維持すること。例えば、データを他のシステムに移行することにより、見読性を維持する。
アーカイブデータへアクセスしており、アーカイブデータを見るのに必要なソフトウェアへのアクセスを維持していることを確認する。

データのアーカイブに外部またはサードパーティの施設を利用している場合、これらのサービスプロバイダはアセスメントを受けること。また、品質技術協定に記録された全責任を負うこと。協定とアセスメントの記録を確認し、アーカイブ記録の確実なインテグリティに十分な配慮がなされていることを検証する。

■解説
データ保管を業務委託している場合、データインテグリティの観点で委託先を定期監査しその記録を残しておく必要がある。自社でデータ保管を行っている場合と同程度の管理が、業務委託先においてなされていることを検証する。自社が求める変更管理や構成管理が業務委託先においてなされていることも確認しておく必要がある。このことは、IaaS、PaaSなどクラウド利用においても同様である。
4 コンピュータ化システムが生成した全てのデータを、メタデータを含んでプリントアウトできること。

記録に変更が加えられた場合、いつどのように記録が変更されたかプリントアウトできること。
システムのバリデーション文書を確認し、見読性と完璧性を有する記録の生成がバリデートされていたことを確かめる。

プリントアウトのサンプルを確認するとよい。
5 電子的に保存されたデータを廃棄するプロセスを規定した手順があること。これの手順において、データを評価し、維持期間を見極めること。また、不要となったデータを処分する方法を記載すること。 データ廃棄の条件を明確に規定した手順であること、また、必要とされるデータをうっかり廃棄してしまわないよう配慮されているか確認する。

執筆者について

経歴 ※このプロフィールは掲載記事執筆時点での内容となります

連載記事

コメント

コメント

投稿者名必須

投稿者名を入力してください

コメント必須

コメントを入力してください

セミナー

eラーニング

書籍

CM Plusサービス一覧

※CM Plusホームページにリンクされます

関連サイト

※関連サイトにリンクされます