FDA 483におけるデータインテグリティ指摘(104)
7.483における指摘(国内)
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見(Observation)の概要を紹介する。
■ JJJJJ社 2024/1/19
施設:原薬工場
■ Observation 4-A
CDS(クロマトデータシステム)が複数のクロマトグラフィ機器からデータを吸い上げデータ処理している。QAマネージャはこのCDSの唯一のシステム管理者となっている。このQAマネージャがシステム管理者権限でこのCDSにログインし、システムポリシー、監査証跡、電子記録にアクセスしていたのを査察中の2023/1/18に確認した。このシステム管理者権限は電子記録の変更と削除を制限なく実行できる。このQAマネージャは原薬リリースの管理責任者である。
★解説
製品リリースの責任であるQAマネージャが、電子記録の変更削除を行うことができるシステム管理者権限によりCDSを操作していたので指摘されている。
製造や試験を実施・照査・承認する職員は不都合を隠蔽しようとする動機を持ちうるので、そのような職員に電子記録の変更削除が可能なシステム管理者権限を与えてはいけない。電子記録の変更削除が可能なシステム管理者権限は、製造や試験に係わらない(利害関係のない)IT部門や技術部門に与える必要がある。リリース承認を行うQA部門にこのようなシステム管理者権限を与えざるを得ない場合、その製品のリリース判定に携わらないQA職員に限定してシステム管理者権限を与えるべきである。
本事例では、リリース判定を行う(製品に利害関係がある)QAマネージャがシステム管理者権限によりシステム操作をしていたために指摘されている。リリース判定を行う場合、電子記録の変更削除権限は不要であるので、監査証跡を含む電子記録の読み出し権限のみをリリース判定者に与えればよい。
QAマネージャにシステム管理者権限を与えていた理由は不明であるが、製造や試験に係わらない(利害関係のない)IT部門や技術部門がシステム管理業務を請け負ってくれなかったのかもしれない。そのような場合、製造や試験の実施・照査・承認を行う職員、つまり不都合を隠蔽しようとする動機を持ちうる職員にシステム管理者権限を与えざるを得なくなる。
そのような場合の対応方法が、「PIC/Sの査察官向けDIガイダンス」(PI041-1 2021)の「9.5 System security for computerised systems」に記載されている。その要旨を以下に紹介する。
たとえば;
この場合、第三者によるシステム管理者の監査証跡レビューは、合否判定までに確認しておくことをお薦めする。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント