ラボにおけるERESとCSV【第61回】

7．483における指摘（国内）
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見（Observation）の概要を紹介する。
 
■　PP社　2018/6/15  483 
施設：OTC製剤工場

Observation 1
OTC製品の分析に使用するUPLC、HPLC、ICPなどQCのコンピュータ化システムにより生成されるデータのレビューは、QC分析チーフの責任となっている。このQC分析チーフはシステム管理者権限を持っており、データを削除でき監査証跡のオフもできる。

★解説：
システム管理者権限を持っていると、電子記録や監査証跡の変更削除、日時のバックデートなどが出来てしまう。テスト実施者やデータレビュアー等テストに係わる職員にシステム管理者権限を与えると、自らが関与したテストの改ざんが可能になり、データインテグリティを保証できなくなる。従って、テストに関与する職員にシステム管理者権限をあたえていると指摘される。一方、組織が小さいとテストに係わる職員にシステム管理者権限を与えざるを得ない場合がある。そのような場合は、PIC/Sの査察官むけデータインテグリティガイダンス（Draft-3 §9.3）における下記提案を参考にするとよい。
　　•  GMP業務とシステム管理業務の両方を行う個人に、異なる権限の２つの
　　　アカウントを付与し、アカウントを使い分けることにより対応する
　　•  たとえば
　　　◆　測定時は測定者権限アカウント、システム管理を行う場合はシステム
　　　　　管理者権限アカウントでログインする
　　　◆　システム管理者権限アカウントには測定権限を与えない
　　　◆　測定者権限アカウントにはシステム管理権限を与えない
　　　◆　システム管理者権限アカウントにより行われたすべての変更は可視化
　　　　　しておき、品質システムにおいて承認する（システム管理者権限アカウ
　　　　　ントの監査証跡を参照し、不適切な操作がなされていないことをQA等が
　　　　　確認し承認する）

ただし、上記のように実施していた会社がメガファーマの監査において以下の指摘を受けた事例がある。
「システム管理者権限アカウントの監査証跡を確認する頻度が長すぎる」
監査証跡を確認する頻度を適切に設定しておく必要がある。

Observation 8
製造に使用される機器のIQとOQが不十分である。機器メーカから適格性評価の要件が詳細に記載されたIQとOQのテンプレートを受領したが、機器メーカが推奨する適格性評価に従っていない。それどころか、詳細が記載されていない一握りの検証を行っただけであった。これらの検証結果は合格/不合格が記載されているだけであり、どのように検証を行い何を検証したのかが記載されていない。

★解説：
OTCといえども患者の安全生確保は重要であり、OTCメーカに対するFDAのデータインテグリティ指摘は珍しくない。本Observationのポイントは「一握りの検証を行っただけである。しかも検証結果は合格/不合格が記載されているだけであり、どのように検証を行い何を検証したのかが記載されていない」という点である。

URSを適確に規定し、そのURSを満たしていることを検証し、検証の正当性を説明できるような記録を残すのが重要である。前回の連載にも記載したが、CSVにおいては以下の記録が必要である。
　①    ユーザー要求仕様（URS：User Requirement Specification）
　②    テストスクリプト（テストステップを記載したテスト手順書）
　③    テスト記録（テストステップ毎のテスト実施記録）
これら①②③を一覧表にまとめたトレーサビリティマトリクス（TM：Traceability Matrix）があると、URSの各項目がバリデートされていることを簡潔に説明できる。TMも記録として維持することを強くお薦めする。TMの書式例と説明は連載第6回を参照されたい。