APIC(Active Pharmaceutical Ingredient Committee:https://apic.cefic.org/)でFAQが改訂(2025年1月)されていますので、概要を掲載します。本ブログではポイントのみ抜粋しますので、詳細は原文を参照ください。(※は筆者解説)
デジタル署名/電子署名
Q1: デジタル署名(digital signature)と電子署名(e-signature)の違い
A1: デジタル署名は電子ファイルに付与され、データと共に移動。電子署名は電子システム内で実行・保持され、そのシステム内にのみ存在。
Q2: ハイブリッド署名の取扱
A2: 文書の署名は完全に手書き(wet)又はデジタルで行うことが望ましい。ハイブリッドの場合、まず手書き署名をしなければならず、その後でその文書はデジタル署名用に供することが可能。完全に署名された電子文書が正式なGXP文書。手書き署名文書の手書き署名付きコピー又は真正コピーと、電子署名のコピーはセキュリティのとれた環境(企業の記録管理の方針に準じて)でリンクを明確にしておくこと。
Q3: 手書き署名文書のスキャン画像をGXP文書として使用することは社内用として許容されるか?
A3: スキャン画像がオリジナルの手書き署名記録の真正なコピーとして検証され、その地域の法規制要件で許可されている場合のみ許容。
Q4: 手書き署名済み文書をスキャンした画像に対して、さらに署名が必要な場合、どのように取り扱うか?(外部利用等)
A4: 送付者が真正コピーのプロセスを確立し、スキャン文書がすでに検証・証明された真正コピーである場合にのみ、この文書を使用できる。
Q5: 電子文書管理システムにデジタル署名済み文書を保存する場合、どのように扱うか?(例:Adobeでデジタル署名された文書…)
A5: 文書管理システムが検証され、デジタル署名がシステム内で維持され、必要に応じて取得(retrieve)可能であることを確認する必要がある。システム内でデジタル署名を維持することができない場合、デジタル署名済み文書をセキュリティがとれ検証された環境に保存する必要がある。
パスワード管理
Q1: ログイン時、個々のデータ入力に再認証が必要か?
A1: No;データや操作のクリティカリティによる。クリティカリティはプロセスマッピングとリスクアセスメントに基づく(APIC Practical risk-based guide for managing Data Integrity, 7.3)。
Q2: 電子署名コンポーネントの要件は?
A2: 21CRF11のChapter 11.200(リンク以下)に書かれている。
要約すると、
- システムアクセス継続中、最初の署名では全ての電子署名コンポーネント(ID・PW/生体認証)を要し、以降はコンポーネントの内、少なくとも一つを用いて実行すること
- システム継続外の場合は、毎回全てのコンポーネントを用いること
https://www.ecfr.gov/current/title-21/chapter-I/subchapter-A/part-11/subpart-C/section-11.200
Q3: インターネットブラウザーにパスワードを保管することはGXPでは許されるか?
A3: No;理想的には、パスワード保存機能を無効にすべき。
アクセス管理
Q1: サードパーティーのサポート担当者(試験のテクニシャンやSAPのオンラインサポート等)に、汎用アカウントを使用してよいか?
A1: No;帰属性を有すること。
Q2: HSE(health-safety-environment)の理由で自動ロックまでの無操作時間を延長できるか?
A2: リスクベース。HSE上の懸念はGXPとは独立して管理すべき。DCSの例では完全にOSのロックとならず、バルブ等管理対象物をクリックしてパスワードを入力する操作方法を設計するのがベストプラクティス。
記録のライフサイクル管理
Q1: クリティカルな紙の記録の保護は?全てスキャンするか、物理的な保護(耐火保管庫、保管場所の管理等)で十分か?
A1: 適切な保管期間中、保護され、かつ取り出せる状態であるべき。安全で適切に管理された環境で保管されていれば、スキャンする必要はない。
※「クリティカル」は一般的には市場の製品品質に直接影響するといった概念であり、市場出荷後では、それを失うことによって患者保護(Q9)に影響したり、回収の判断をしたりしなければならないようなものが想定される。
Q2: 紙の記録をスキャンした場合、それに置換え可能か?紙の記録は破棄してよいか?
A2: 真正コピーなら可能だが、破棄できるかどうかは、その地域の規制要件による。
※国内の場合はGMP事例集(2022年版)追補のGMP追補3参照
Q3: ハードウェアやソフトウェア(Windowsアップデート、アプリケーションソフトウェア)がサポートされなくなった場合、電子データを印刷することで対応可能か? あるいは、旧システムを稼働させ続ける必要があるか?
A3: メタデータを含む真正コピーなら許可されるが事実上困難。最優先はデータを適切なシステムに移行すること。その他、旧システムを検証済の状態で稼働できる仮想環境を構築する等。
その他
Q1: 目視の分析試験(外観、不溶性異物、TLC等)の対応は?
A1: APICガイドのTable 1参照 ⇒ ガイドの4.2.2
※内容的にはALCOA+によるGdocPsやバックアップ保管管理体制等を言っている。このような分析試験の対応については、PIC/S PI 041の8.8章にも示されている。
ガイド:APIC Practical risk-based guide for managing Data Integrity
PI 041:GOOD PRACTICES FOR DATA MANAGEMENT AND INTEGRITY IN REGULATED GMP/GDP ENVIRONMENTS (PI 041-1)
Q2: 試験室や製造環境下で個人用メモは許可されるか?
A2: No;作業に必要な情報は管理された手順書や作業指示書に記載されるべき。
