7.483における指摘(国内)
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見(Observation)の概要を紹介する。
■N社 2016/7 /29 483
施設:原薬工場
Observation 5
コンピュータ化システムの管理が不十分なため、データを権限のないアクセス、変更、削除から保護できていない。例えば;
1) QCラボ職員に原子吸光分析装置の管理者権限を与えており、データ削除や差し替えができる
2) QCラボ職員はユーザーアカウントを共有して原子吸光分析装置のWindows OSをアクセスしている
3) QCラボ職員は原子吸光分析装置のデータをコピーしUSBドライブや他のドライブに保存でき、データの削除や差し替えができる
★解説:
1)項について
GMP従事者にシステム管理者権限を与えないのが基本である。そのようにできない場合は、連載第38回(2018年2月)の「M社 2016/7/22 483」のObservation 2における7項に対する解説を参照されたい。
2)項について
① アプリケーションがOSのユーザーアカウントを利用している場合、OSへのログインは個人毎のアカウントでログインしなければならない。OSへ共有アカウントでログインすると、アプリケーションにおける操作者を特定できず指摘されることになる。
② アプリケーションがOSのユーザーアカウントとは独立したユーザーアカウント管理機能を持っている場合、OSへ共有アカウントでログインしたとしてもアプリケーションにおける操作者を特定できる。したがって、OSへ共有アカウントでログインしたとしても問題にはならないと考える。ただし、時刻の調整権限は特定の個人アカウントに限定し、時刻調整を行う場合はその個人アカウントでログインしなければならない。つまり、時刻の調整権限を持ったアカウントを共有していると、だれでも時刻を変更できてしまうということで指摘を受けることになる。
③ エクスプローラなどのOS操作により、アプリケーションのデータを削除したり差し替えたりできる場合がある。そのようなことのできるOSアカウントを共有していると、だれでもデータを削除したり差し替えたりできるということで指摘を受けることになる。
3)項について
「データをコピーしUSBドライブや他のドライブに保存でき」という点に問題はない。不都合なデータを、他のドライブに保存したデータで置き換えることができるとの指摘である。実際にそのような置き換え(改ざん)をしていなくても指摘される。だれでも「エクスプローラなどのOS操作により、アプリケーションのデータを削除したり差し替えたりできる」ようになっていると、指摘を受ける可能性がある。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント