7.483における指摘(国内)
前回より引き続き、国内企業に対するFDA 483に記載されたデータインテグリティ観察所見(Observation)の概要を紹介する。
■ I I I社 2019/3/29 483
施設:原薬工場
■Observation 1
QCラボのマネージャがスタンドアロンのコンピュータおよびコンピュータ利用機器のシステム管理者となっている。これらの機器は原材料と製品の分析に使用されている。QCマネージャはこれらの機器において、データの変更、名称変更、規格の変更、再測定、測定結果の削除などを行うことができる。QAおよびITはこれらの操作を監視していない。QAおよびITはこれらの機器の監査証跡を確認したことがない。監査証跡はプリントアウトされておらずテスト結果とつきあわせ検証されていない。さらに、テストにおいて生成されたデータのインテグリティを維持することを規定したポリシーもなかった。
★解説:
製造やラボにおいて使用されている機器/装置/システムのシステム管理者権限を持っていると、データの改変・削除、ユーザーアカウントの設定・変更、監査証跡機能の変更、時刻設定の変更などが出来てしまう。試験や製造に係わる職員がシステム管理者権限を持っていると、自らが関与した試験や製造あるいはこれから関与する試験や製造のデータ改ざんなどができるので指摘される。従って、システム管理者権限は、試験や製造に利害関係を持たないIT部門、もしくは試験や製造の監査を行うQA部門にゆだねるのがよい。ただし、査察官によってはQAがシステム管理者権限を持っていることを指摘することがある(483_2019/10/18、中国)。そのような査察官に対しては、QAの独立性を否定したらGMPは成り立たなくなることをディスカッションするとよい。
組織が小さい場合などには電子記録の生成・レビュー・承認に係わるQCや製造の職員にシステム管理者権限を与えざるを得ない場合がある。そのような場合の対応方法がMHRA(英国医薬品庁)から以下の様に提案されている。また、PIC/Sの査察官向けデータインテグリティガイダンス(Draft-3 §9.3)にも同様の記載がある。
製造やラボにおいて使用されている機器/装置/システムのシステム管理者権限を持っていると、データの改変・削除、ユーザーアカウントの設定・変更、監査証跡機能の変更、時刻設定の変更などが出来てしまう。試験や製造に係わる職員がシステム管理者権限を持っていると、自らが関与した試験や製造あるいはこれから関与する試験や製造のデータ改ざんなどができるので指摘される。従って、システム管理者権限は、試験や製造に利害関係を持たないIT部門、もしくは試験や製造の監査を行うQA部門にゆだねるのがよい。ただし、査察官によってはQAがシステム管理者権限を持っていることを指摘することがある(483_2019/10/18、中国)。そのような査察官に対しては、QAの独立性を否定したらGMPは成り立たなくなることをディスカッションするとよい。
組織が小さい場合などには電子記録の生成・レビュー・承認に係わるQCや製造の職員にシステム管理者権限を与えざるを得ない場合がある。そのような場合の対応方法がMHRA(英国医薬品庁)から以下の様に提案されている。また、PIC/Sの査察官向けデータインテグリティガイダンス(Draft-3 §9.3)にも同様の記載がある。
• GMP業務とシステム管理業務の両方を行う個人に、異なる権限の2つの
アカウントを付与し、アカウントを使い分けることにより対応する
• たとえば
◆ 測定時は測定者権限アカウント、システム管理を行う場合は
システム管理者権限アカウントでログインする
◆ システム管理者権限アカウントには測定権限を与えない
◆ 測定者権限アカウントにはシステム管理権限を与えない
◆ システム管理者権限アカウントにより行われたすべての変更は
可視化しておき、品質システムにおいて承認する(システム管
理者権限アカウントの監査証跡を参照し、不適切な操作がなさ
れていないことをQA等が確認し承認する)
ただし、この確認・承認は出荷判定までにすませておかないと
指摘される場合がある。
詳細は連載第13回を参照されたい。
「QAおよびITはこれらの操作を監視していない。QAおよびITはこれらの機器の監査証跡を確認したことがない」と指摘されている。これは上記の「システム管理者権限アカウントの監査証跡を参照し、不適切な操作がなされていないことをQA等が確認し承認する」を実施していないための指摘である。
「監査証跡はプリントアウトされておらずテスト結果とつきあわせ検証されていない」と指摘されている。監査証跡をプリントアウトするのは必須ではない。監査証跡により確認したことをデータレビュー記録に記載し署名しておけばよい。データレビュアーがシステムにログインした記録により、データレビュアーが監査証跡を含む電子記録によりデータをレビューした裏付けができる。監査証跡をプリントアウトしていては、膨大な紙記録が発生してしまう。査察官に監査証跡をプリントアウトするよう指摘された場合には、その必要性について査察官と十分にディスカッションするのが重要である。
「テストにおいて生成されたデータのインテグリティを維持することを規定したポリシーもなかった」と指摘されている。これは、データインテグリティのポリシーがないことを指摘しているのではない。データのインテグリティが維持されていれば、このような指摘は受けない。当該システムのSOPや手順書によりデータのインテグリティが確実に維持できるようになっていればよい。ただし、将来にわたり他のシステムにおいても首尾一貫してデータインテグリティを維持するためには、SOPや手順書の上位に位置する、規程、基準書、ポリシー等に、データインテグリティを維持するための要件を規定しておくのが重要である。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント