21 CFR Part 11 コンプライアンスに関する専門家ガイド:ベストプラクティスと実証済みの戦略

21 CFR Part 11 の歴史とは何ですか?

1980 年代から 1990 年代にかけてデジタル記録管理がより一般的になるにつれて、記録管理テクノロジーには利点とリスクの両方が伴いました。電子記録により、迅速な情報交換が可能になり、データの迅速な検索と取得が可能になり、自動化されたデータ収集と記録によってエラーが削減されました。

しかし、電子記録は、従来の紙ベースの記録の信頼性と真正性の基準を満たしていないことがよくありました。たとえば、適切な管理がなければ、電子記録は紙の記録に比べて簡単に改ざんされる可能性があります。 Title 21 CFR Part 11 は、電子記録の記録、検証、追跡、保存方法に関する明確な基準を概説することで、この問題を解決しています。

21 CFR Part 11 への準拠が重要なのはなぜですか?

Title 21 CFR Part 11 に準拠しない場合の影響は、メーカーにとって重大です。まず、自社の製品を世界各国で販売しようとする企業にとってコンプライアンスは必須です。
米国は電子記録を FDA に提出します。コンプライアンス基準を満たさないと、操業停止につながる可能性があり、貴重な生産時間が失われるとともに、懸念が生じます。

21 CFR Part 11 は、不遵守によるコストを超えて、デジタル記録管理のセキュリティにおいて重要な役割を果たしています。この規制によりデータの完全性が確保され、デジタル記録の信頼性と機密性を検証するための慣行が導入されます。また、重要なデータやドキュメントを取得するための適切なツールが整っていることも確認します。

主要なアクションに対する制御の確立に関しては、21 CFR Part 11 では運用制御とセキュリティ制御の両方が必要です。規制対象の企業は、プロセスを安全かつ論理的な順序でガイドする自動化されたワークフローを構築し、ユーザーがデジタルプラットフォーム内で適切なアクションのみに制限されるようにする必要があります。

アクションと変更の詳細な履歴を維持することも、21 CFR Part 11 にとって不可欠です。企業は、監督者が変更内容、いつ、誰が変更を実行したかを確認できるように、ユーザーのアクションを追跡できる監査証跡を提供できなければなりません。

最後に、電子記録管理のセキュリティにおける 21 CFR Part 11 の重要な役割は検証です。プロセスがどのように機能するかを文書化し、機能を検証するためのテストを行います。

21 CFR Part 11 に準拠する必要がある業界はどれですか?

Title 21 CFR Part 11 は、製薬会社、食品および飲料メーカー、バイオテクノロジー機関、医療機器メーカー、化粧品会社などに適用されます。これは、FDA が規制するすべての業界と、小売流通用の原材料を提供する企業に適用されます。研究開発のために稼働する実験装置の使用に携わる企業も含まれます。その他の規制対象の企業および組織には、研究施設、FDA 規制の研究を実施する臨床試験スポンサー、および臨床研究組織 (CRO) が含まれます。 FDA 規制の研究に取り組む臨床研究担当者は、デジタル記録管理システムまたはソフトウェアの購入に関わる担当者とともに、21 CFR Part 11 の基礎を知っておく必要があります。

テクノロジープラットフォームは必ずしも検証を必要とするわけではありません。プラットフォームの使用方法を定義することは、21 CFR Part 11 準拠のソフトウェアの使用を検討する必要があるかどうかを理解するための鍵となります。あなたのチームはプラットフォームを使用してどのようなアクションを実行しますか?プラットフォームは、完全性を保護する必要がある電子記録を処理または変更しますか?あなたのチームは、主要なアクションを承認するために電子署名しますか?

デジタルドキュメントが準拠していることを確認するために調査を行ってください。

21 CFR Part 11 への準拠を確保するための 4 つの主要領域

FDA は、セキュリティ、トレーサビリティ、有効な使用、参照目的について内部システムをマークする包括的なチェックリストを使用して施設の監査を実施しています。完全なリストではありませんが、21 CFR Part 11 への準拠を確認し、監査の準備をする際に焦点を当てるべき 4 つの主要な領域は次のとおりです。

1.コントロールと手順を検証する

Title 21 CFR Part 11 では、内部システムが正確で、信頼性があり、一貫性があることを確認するために検証する必要があると述べています。セキュリティとアクセス制御を保護するために、承認された担当者のみがシステムを操作して、実稼働記録に署名し、既存のドキュメントを更新し、コアファイルまたはディレクトリを開くことができるようにする必要があります。データベースへの不正アクセスが検出された場合は、直ちにセキュリティ部門または IT マネージャーに報告する必要があります。

2.監査証跡を確立する

21 CFR Part 11 準拠チェックリストでは、メーカーは、ファイルの作成、変更、削除など、通常の運用中にシステムに加えられた変更について、正確かつ完全でタイムスタンプ付きの記録を作成できる必要があります。トレーサビリティを確保するために、組織は FDA の要求に応じて以前の監査のコピーを作成できる必要もあります。

3.電子署名要件に従ってください

21 CFR Part 11 電子署名には、署名者の名前、署名日時、および「レビュー済み」または「承認者」のインジケーターが含まれている必要があります。本名は必須であり、役職名に置き換えることはできません。同様に、署名は特定の文書に添付する必要があります。また、企業は、スキャンされた署名は電子記録とみなされないため、デジタル文書上の電子署名と物理コピー上のスキャンされた署名を混同しないようにする必要があります。

電子署名は、指紋や網膜スキャンなどの生体認証にすることもできますが、本物の所有者のみが使用できるように設計する必要があります。

4.検査結果の完全かつ正確なコピーを保持する

21 CFR Part 11 準拠チェックリストでは、複数の形式でファイルの正確かつ完全なコピーを作成する必要性について説明しています。これらは、検査とレビューの目的で安全なシステムに保存する必要があります。堅牢なシステムでは、PDF、XML、SGML などの複数のファイルタイプをサポートする必要があります。記録は、「文書化されたリスク評価と長期にわたる記録の価値の決定」（FDA）によって定義される記録の保存期間全体にわたって保存され、いつでも検索できる状態にしておく必要があります。

包括的な 21 CFR Part 11 準拠チェックリスト

CMMS は、記録が電子的に記録および保存される一元的な場所を提供することで、組織が FDA 電子記録要件に準拠するのに役立ちます。ただし、一部のソフトウェアプログラムは Title 21 Part 11 に準拠していないため、CMMS を使用してもこれらの標準への準拠が自動的に保証されるわけではありません。最終的には、CMMS プロバイダではなく、組織自体がコンプライアンスを確保する責任を負います。

この包括的なチェックリストは、FDA Title 21 Part 11 に準拠し、すべての法的要件に従っている CMMS を使用していることを確認するのに役立ちます。このリストにチェックを入れることができない項目がある場合は、監査に備えてできるだけ早く対応してください。

1. 検証

指定期間中、コンピュータシステムは検証済みの状態でした
無効または古いレコードを現在のレコードと区別できる
明示的な許可を得た個人のみがドキュメントを表示、編集、署名できる
コアファイルにアクセスする権限は特定のユーザーにのみ委任され、制限されます
ダッシュボードにアクセスするすべての従業員は、事前に適切なトレーニングを受けます
システムの使いやすさに関する説明は、開発者、IT、サポートスタッフなど、さまざまな役割向けに提供されています
システムは、許可された入力デバイスからの命令のみを処理します
機密性を確保するためにすべてのデータが暗号化されます
プロセス管理により、事前に定義された一連のステップまたはイベントへのコンプライアンスが保証されます
各ユーザーは ID コードとパスワードの一意の組み合わせを持っています
システムは定期的に ID コードの有効性を検証します
パスワードリセットリクエスト用のプロトコルが存在します
不正なログイン試行は上層部に通知される
デバイスを紛失したり侵害された場合は、すぐに無効化されます
デバイスを紛失した場合は、同様の厳格な管理のもと、一時的または恒久的な交換品を発行する必要があります
元従業員の ID とパスワードは退職後直ちに取り消されます

2. 監査証跡

監査証跡のエントリは明確であり、その起源まで遡ることができます
ファイルの作成、変更、削除を含む変更記録は正確かつ包括的で、タイムスタンプが付いています
更新された電子記録には、監査目的で以前のバージョンが保持されます
リクエストに応じて監査証跡を FDA に提供できます
各ユーザー ID、一連のイベント、変更管理、変更ログ、リビジョンが監査証跡に明確に表示されます
署名者の名前、日付、承認時刻、署名の目的が各文書に表示されます
署名は安全であり、記録を変更するために複製したり偽造したりすることはできません

3. 電子署名

正確性と承認を保証するために、各ユーザーには一意の署名が割り当てられます
システムは、電子署名が再利用または再割り当てされたことがあるかどうかを識別します
すべての署名は特定の電子ドキュメントに関連付けられます
署名は、パスワードと組み合わせられた ID コードまたはカードで構成されます
個人の身元は署名の時点で確認されます
パスワードは、中断のないセッション内の署名中に検証されます
パスワードは定期的に確認または修正する必要があります

4. 記録のコピーと保持

検査の際、FDA は記録への合理的かつ有用なアクセスを許可される
ソフトウェアシステムでは、ファイルを PDF、XML、SGML などの広く使用されている形式に変換またはエクスポートするための標準的な方法が採用されています
記録は人間が判読できる形式で、検査、レビュー、複製に利用できます
印刷されたコピーはデジタルコピーと同じくらい正確で、元の記録が完全に反映されます
古い記録の保存期間はリスク評価を通じて設定されます
記録は保持され、保存期間全体にわたって確認のためにアクセスできます
アーカイブされたレコードは、元の整合性とコンテキストを維持します

21 CFR Part 11 の規則に準拠しているということは、FDA の目から見て、電子記録が従来の紙ベースの記録と同様に完全、正確、本物であることを意味します。電子記録のベストプラクティスに準拠しているライフサイエンス企業は、FDA の監査が発生した場合に自社を守ることができます。さらに、正確な情報を取得し、承認された変更を必要とすることでセキュリティが強化され、偽情報や不正確な情報によって引き起こされる潜在的な危害からクライアントや顧客を保護することもできます。

なぜ企業は紙の記録ではなく電子記録を使用する必要があるのでしょうか?

紙の追跡システムを使用している場合、21 CFR Part 11 は電子記録の保管にのみ適用されるため、準拠する必要はないと考えるかもしれません。しかし、自分の立場を再考すべき理由がいくつかあります。

まず、あなたの会社では、ある時点で電子記録管理を使用している可能性があります。記録のほとんどが紙で保存されている場合でも、電子的に保存する記録はこれらの規制に準拠する必要があります。今すぐコンプライアンスを確保することで、後で監査上の予期せぬ事態を避けることができます。

第 2 に、電子文書は紙の証跡に依存するよりも完全でアクセスしやすく、多くの場合正確です。紙は紛失したり、置き忘れたり、改ざんされたり、破損したりしやすくなります。電子システムを使用すると、これらの課題を回避できます。電子システムが 21 CFR Part 11 に準拠すると、チームは安全かつ正確で、常に利用可能な記録を一貫して維持できるようになります。

最後に、電子文書を使用してレポートや監査に提出することは、紙の文書を使用するよりも大幅に効率的です。製造プロセスの開始または継続に FDA の承認が必要な場合、承認処理時間を短縮することが生産ラインの稼働を維持するための鍵となります。

21 CFR Part 11 準拠ソフトウェアでは何を確認する必要がありますか?

21 CFR Part 11 への準拠を支援するソフトウェアを評価するときは、機能のチェックリスト以外にも目を向けることが重要です。適切なソリューションは、安全な電子記録と署名をサポートするだけでなく、コンプライアンスを達成するためにプロセスとシステムを最適化する必要があります。組み込みのアクセス制御、監査証跡、および特定の検証要件を満たすワークフローを構成する機能を備えたソフトウェアを探してください。

業務の拡大に応じてシステムがどれだけ簡単に拡張できるか、また、依存している他のツールとスムーズに統合できるかどうかを検討してください。最終的な目標は、日常業務を複雑にすることなくコンプライアンスを簡素化するソリューションを実装することです。