PIC/S GMPガイドラインAnnex 11の改訂版ドラフト内容の注目点【第3回】

新たな負担増と感じられた記載事項
＜定期的な照査＞
Annex 11の従来の「11. 定期的な照査」(Periodic Evaluation)では1段落分だけであった章が、「14. 定期的な照査」(Periodic Review)となり、見出し行を含めて数えると17段落にも増加した。これは、当該の『システムが引き続き「使用目的に適合」し、「バリデーションされた状態」にあるかどうか、又は、変更がなされるべきで、再バリデーション(完全又は部分的)が求められるかどうかを検証する』ための事項が多く追加されたことによる。恥ずかしい話であるが正直なところ、これまでに実際のシステム管理業務を担当したことのある筆者も、このように厳密に詳細が定義され、実施項目の多い定期的照査を実施した経験はない。同章では「14.2. 照査の範囲」として「前回の照査以降になされた変更」に関する3項目、「裏付けるプロセスに対するフォローアップ」に関する12項目が列挙されている。幸いその実施頻度については「14.3. 頻度。 定期的な照査は、計画に従って実施、承認、完了されるべきである。照査の頻度は、システムが製品品質、患者安全性及びデータインテグリティに及ぼすリスクに基づいて確立され、正当化されるべきである。最終照査は、システムが使用されなくなった時点で行なわれるべきである。」となっており、「毎年」とは明記されていない。しかし、使用されなくなったシステムの最終照査のことまで明記されている。

＜セキュリティ＞
Annex 11の従来の「12. セキュリティ」(Security)では4段落分だけであった章が、「15. セキュリティ」(Security)となり、章のタイトルは不変であるものの20段落にも増加した。コンピュータのセキュリティ管理の観点からは、常識となっている項目ばかりであるが、例えば「15.19. 侵入テスト。インターネットに面した重要システムについては、規則的な間隔で侵入テスト(倫理的ハッキング)を実施し、講じられているセキュリティ対策の適切性を評価し、システムセキュリティ上の脆弱性を特定すべきである。」においては「インターネットに面したシステム」との限定があるものの「定期的な侵入テストの実施」が明記されており、筆者の率直な感想は「これは大変な費用がかかる」であった。
また、新たに設けられた「11. 識別及びアクセス管理」の章ではその「11.5. セキュアなパスワード」項において「パスワードはセキュアであり、システムによって強制されるべきである。パスワード規則は、システム及びデータの不正変更のリスクと結果に見合っているべきである。重要なシステムの場合、パスワードは不正アクセスを効果的に防止するのに十分な長さとし、大文字、小文字、数字、記号の組み合わせを含むべきである。パスワードは、例えば辞書に載っているような単語、人名、ユーザーID、製品名、組織名等を含まないようにすべきであり、以前のパスワードとは著しく異なっているべきである。」とまで詳細に記載されている。果たして、GMP分野で使用されているアプリケーションソフトウェアには「辞書に載っているような単語、人名、ユーザーID、製品名、組織名等」のパスワードの使用を抑止する機能を備えるような製品があるだろうか。パスワードの複雑性の要件については、最近の米国のNIST(National Institute of Standards and Technology:米国標準技術局)の出版物で述べられているように、パスワードの複雑性を強制することは必ずしもベストITプラクティスとは考えられなくなってきており、その流れとはマッチしない。

記載されなかった事項
＜ITインフラストラクチャの適格性評価＞
Annex 11の従来の「原則」では「アプリケーションをバリデートすること。さらに、ITインフラストラクチャは要件を満たしていること。」(“The application should be validated; IT infrastructure should be qualified.”)とあり、特に英文においてはITインフラストラクチャの適格性評価の実施が明記されていた。しかし、今回の改訂版ドラフトの「原則」では「2.1. ライフサイクルマネジメント。コンピュータ化システムは、使用前にバリデートされ、そのライフサイクルを通じてバリデートされた状態に保たれるべきである。」と記載され、「ITインフラストラクチャの適格性評価」の文言が姿を消した。では「コンピュータ化システム」の定義の中に明示的にITインフラストラクチャが含まれているかというと「コンピュータ化システムとは、コンピュータシステムと統合され、教育訓練を受けた職員によって実行される機能(プロセス又は作業)である。その機能はそのコンピュータシステムによって管理される。管理コンピュータシステムは、ハードウェアとソフトウェアで構成される。管理される機能は、管理される装置と職員によって実施される作業手順で構成される。」とあり、否である。一方「インフラストラクチャ」の用語定義は「ネットワークソフトウェア及びオペレーティングシステムなどのハードウェア及びソフトウェアであり、それはアプリケーションが機能するのを可能する。」とあり、直接的な「コンピュータ化システム」との関係が明記されておらず、曖昧なままである。