FDA 483におけるデータインテグリティ指摘(83)
7.483における指摘(国内)
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見(Observation)の概要を紹介する。
■ OOOO社2022/12/14
施設:製剤工場
■Observation 4
IDとパスワードに基づく電子署名が使われている。しかしPart 11が求めるユニークで個人を特定できる署名とはなっていない。とくに;
細胞培養のデータ、細胞密度、細胞の生死判別、生存細胞密度の収集に使用されているソフトウェアにおいて管理者は同じIDとパスワードを使用している。この管理者はデータの監査証跡をレビューする責任を有している。
FDAの査察指摘においてPart 11に言及するのは大変珍しい。FDAにおけるPart 11の位置づけを以下に紹介する。
Part 11の邦訳:
https://bunzen.co.jp/manage/wp-content/uploads/2019/04/BZLib-121_Part11Rule_r0.pdf
- コンピュータ指摘へのPart 11条文引用を停止
- コンピュータ指摘には、GxP条文を引用(GxPの観点でコンピュータ指摘を行う)
当ガイダンスの邦訳:
https://bunzen.co.jp/manage/wp-content/uploads/2019/04/Lib053-ScopeAppl_r2.pdf
上記2つの邦訳の出展:
株式会社文善 まめ図書館
https://bunzen.co.jp/library/
Part 11は法的拘束力のある規則ではあるが、Part 11違反との査察指摘はありえない。したがって、本Observation 4はPart 11違反と指摘しているのではなく、Part 11を参照しているだけである。
同じIDとパスワードを使用
アプリケーションソフトウェアにおいてアカウントを共有していると、誰の操作や記録であるか特定できないので指摘を受ける。これは下記に示すデータインテグリティ基本要件「ALCOA原則」の「帰属性」を満たしていないからである。
L: Legible (判読性)
C: Contemporaneous (同時記録性)
O: Original (原本性)
A: Accurate (正確性)
監査証跡をレビューする責任
監査証跡をレビューしなければならないのは下記職員である。
- データレビュアー
ロットごとのデータレビューにおいて、監査証跡を含む電子記録によりデータのインテグリティ(信頼性)を確認する。 - QA
自己点検の一環として、抜き取りで標的を定めて監査証跡を含む電子記録により以下の確認を行う。
A) データレビューが手順どおり実施されているか
B) データインテグリティを保証できるデータレビューが実施されているか
C) システム管理者権限のもとになされた操作は正当か
試験や製造の実施・照査・承認に係る職員は都合の悪いデータの改ざんや削除の動機を持ちうる。システム管理者権限を有しているとデータの変更や削除ができてしまうので、システム管理者権限を試験や製造の実施・照査・承認に係る職員に与えてはいけない。試験や製造にかかわらないIT、工務/エンジニアリング、技術などの部門の職員は不都合なデータの改ざんや削除の動機を持たないので、システム管理者権限はこのような部門の職員に与えるのが適切である。しかし、このような部門の職員といえども、試験や製造の実施・照査・承認に係る職員から懇願され不適切なデータ操作を行うことがあり得る。したがって、システム管理者権限のもとになされた操作の正当性をQAが確認する必要がある。
管理者が監査証跡をレビューする責任を有していると本指摘に記載されているが、この管理者がいわゆるシステム管理者を意味しているのかは読み取れなかった。もしシステム管理者であるなら、「C)システム管理者権限のもとになされた操作は正当か」は自分の正当性を自分で確認することになるので不適切である。「A) データレビューが手順どおり実施されているか」と「B) データインテグリティを保証できるデータレビューが実施されているか」の確認をQAの代わりにシステム管理者が実施することは許容されるかもしれない。しかし、「C) システム管理者権限のもとになされた操作は正当か」の確認はQAが実施すべきである。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント