ラボにおけるERESとCSV【第62回】

7．483における指摘（国内）
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見（Observation）の概要を紹介する。
 
■　SS社　2018/6/29　483
施設：原薬工場    

Observation 1
電子システムの管理が確立していない。
特に；
①   GCのコンピュータのタイムゾーンをオペレターが変更できる。
②   Chemstationソフトウェアのシステム管理者がQCラボと独立していない。
③   Chemstationの監査証跡はどの分析者が分析したのか明示していない。
　　また、全ての変更を記録していない。
④   Chemstationの監査証跡はバックアップされておらず、またレビューされてい
　　ない。この監査証跡は上書きされる。スタンドアローンGCは以下の期間しか
　　査察において監査証跡をレビューできなかった。
　　GC-16    2017/4/18 ～当日
　　GC-17    2017/4/16 ～当日
　　GC-23    2017/4/16 ～当日

★解説：
①   連載第61回RR社のObservation 3と同じ指摘であるので、その解説を参照
　　されたい。試験の実施者やデータレビュアーが時刻を変更出来てはいけない。
②   試験に係わる職員に機器やシステムのシステム管理者権限を与えてはいけな
　　い。システム管理者権限を持っていると、時刻の変更、アカウントの権限変
　　更、監査証跡機能の操作、データの変更削除、監査証跡データの削除などが
　　可能となり、データ改ざんを行うことができる。試験の実施者やデータ
　　レビュアーがシステム管理者権限を持っていると、自らが関与した試験の
　　データを改ざん出来てしまうので指摘される。システム管理者権限はその
　　機器/システムによる試験に係わらない職員に付与しなければならない。
　　しかし、組織が小さいと試験に係わる職員にシステム管理者権限を与えざる
　　を得ない場合がある。そのような場合には連載第61回PP社の
　　Observation 1の解説を参照されたい。
③    監査証跡とは
　　•    データや設定の生成・変更・削除の履歴、および重要なシステム操作の履歴
　　　　であり
　　•    誰が、いつ、何から何へ、どのような理由で実施したかを示すものである
　　ここでは、監査証跡について以下のことが指摘されている。
　　　◆　監査証跡はあるが、重要な操作である分析操作を誰が実施したのか記録
　　　　　されていない
　　　　　分析実施者を特定できないとのことであるが、分析者がアカウントを共有
　　　　　していたなど不適切なアカウント管理があったのかもしれない。データ
　　　　　インテグリティ要件をバリデートしていればこのような指摘を受けなかっ
　　　　　たはずである。
　　　◆　全ての変更を記録していない
　　　　　ただし、どのような変更を記録しておらず指摘を受けたのか不明である。
　　　　　どのようなデータや設定に対し監査証跡がつくのか、どのような操作に対
　　　　　し監査証跡がつくのかは機器やシステムのメーカの考えによる。機器やシ
　　　　　ステムの選定に際し、ユーザーは以下のユーザー要件
　　　　　（URS：User 　Requirement Specification）をあらかじめ定めておく
　　　　　必要がある。
　　　　　　    どのようなデータや設定に対し監査証跡が必要か
　　　　　　    どのような操作に対し監査証跡が必要か
　　　　　監査証跡に対する要件を明確化して機器やシステムを選定したのであれ
　　　　　ば、「全ての変更を記録していない」と査察時にコメントされても、
　　　　　現状で問題ないとの説明ができるはずである。機能がなくても手順対応
　　　　　で十分であるなら査察指摘を受けないはずである。