GMP管理とデータインテグリティ【第2回】

"1. コンピュータ化システム適正管理ガイドライン1)
 平成22年10月21日付け薬食監麻発1021第11号厚生労働省医薬食品局監視指導・麻薬対策課長通知「医薬品・医薬部外品製造販売業者等におけるコンピュータ化システム適正管理ガイドラインについて」1)に次の記載がある。
 
6. 運用管理業務
6.1 運用管理に関する文書の作成
製造販売業者等はコンピュータ化システムの運用管理に関する文書(以下「運用管理基準書」という。)を作成するものとする。運用管理基準書には、原則として次の事項を記載するものとする。但し、GQP省令又はGMP省令に関する手順書に基づき管理を行う項目については、その旨を記載すること。
-中略-
(4) セキュリティ管理
① データの入力、修正、削除等に関する担当者のアクセス権限の設定と不正アクセス防止
② 識別構成要素の管理
③ ハードウェア設置場所への立入制限
(5) バックアップ及びリストア

 データインテグリティとして重要な点は、セキュリティ管理とバックアップである。CSVガイドラインとして考えると、バリデーションばかりに目が行き、カテゴリ分類の問題が先行するが、データインテグリティとしての真正性、見読性、保存性を確保することが大事である。その点からもコンピュータ化システム運用管理基準書にセキュリティ管理とバックアップについて、きちんと記載しなければならない。


2.セキュリティ管理
CSVガイドライン1)にセキュリティ管理について次のように記載されている。
 
6.4 セキュリティ管理の実施
運用責任者は、運用管理基準書等に基づき、次に掲げる業務を行うものとする。
(1) データの入力、修正、削除等に関する担当者のアクセス権限の設定と、不正アクセスの防止措置 を講じること。
(2) 識別構成要素等の取扱いについて、機密保護を図ること。
(3) 必要に応じてハードウェア設置場所への立入制限を行うこと。
(4) セキュリティ管理に関する記録を作成するとともに、これを保管すること。

 セキュリティ管理として、まず、重要な点はアクセス権限と監査証跡である。文書作成ソフトや表計算ソフトには、パスワードの設定ができ、保護できるが、これでは不十分である。監査証跡の記録まで残るソフトはほとんどないであろう。また、社内のイントラだけでなく、外部とのメールやネットなどもつながる設定になっていれば、外部からのハッキングや情報漏洩の問題もある。分析機器などに搭載されているコンピュータであっても、試験課員の共通のIDやパスワードで管理していては、例え、監査証跡が残っても誰の操作か記録が残らない。個々のID、パスワードを設定していても、いったんログインしてしまうと、次の操作者がそのまま、入力できてしまえば、無意味なものになってしまう。スクリーンセーバーなどその席を離れた場合の措置で十分かどうかの検証も必要となる。MES(製造管理システム)やLIMS(品質管理システム)を導入している製造所も多いと思うが、メーカー任せになっていないだろうか。GMP文書や記録に関する権限があいまいのまま、導入して、その作成、確認、照査、承認の権限がどこまで及ぶか、紙ベースでしっかり考えないと、確認すべき項目が不明確で何も確認しないまま承認されては問題である。アクセス権限を明確にし、また、従事者が必要な場面できちんと閲覧可能な状況にしなければならない。"

執筆者について

経歴 ※このプロフィールは掲載記事執筆時点での内容となります

連載記事

コメント

コメント

投稿者名必須

投稿者名を入力してください

コメント必須

コメントを入力してください

セミナー

eラーニング

書籍

CM Plusサービス一覧

※CM Plusホームページにリンクされます

関連サイト

※関連サイトにリンクされます