2025年6月9日のブログで,Annex 11の改訂について触れましたが,7月7日付けで改定案がリリースされていますので紹介します。
概要
Annex 11改定案 “Computerised Systems”
既存版から強化されている点
1. データ完全性(Data Integrity)要件の強化
- ALCOA+原則(Attributable, Legible, Contemporaneous, Original, Accurate + Complete, Consistent, Enduring, Available)が正式に明文化され、監査証跡(Audit Trail)やバックアップの管理をより厳格に実施することを要求。
- Audit Trailレビューの頻度や対象範囲のリスクベース設定が明記され、単なる記録から積極的な品質確認プロセスに進化。
2. クラウドサービス・外部委託管理
- SaaS・IaaS・PaaSなどクラウド利用に特化した要件が追加。
- データ保護のための暗号化とリージョン制御。
- 外部委託先(クラウドベンダー)に対する契約管理や監査(SLA要件)。
3. サイバーセキュリティ対策
- セキュリティインシデント対応手順(脅威の検知、アラート、復旧プロセス)を規定。
- 多要素認証(MFA)や侵入テスト、脆弱性スキャンなど最新のITセキュリティ対策が明文化。
4. システムライフサイクル管理の拡張
- GAMP 5との整合を意識し、システム導入から廃棄までの全ライフサイクル管理を強化。
- バリデーション文書の継続的維持(Periodic Review)を要求。
5. 供給者(ベンダー)評価
- ベンダーの適格性評価(監査)が、従来よりも具体的に要求されるようになった。
- QRM(ICH Q9 R1)を用いて、サプライヤーごとのリスクプロファイルを評価することが求められる。
また,Annex 22(Artificial Intelligence)が新規に提案されています。
まとめ
- AIを含む高度自動化システムもバリデーション対象
- 従来のCSVに加え、AIモデルのライフサイクルマネジメントが強調されている。
- リスクベースのアプローチ
- AIアルゴリズムは“ブラックボックス”になりがちであるため、説明可能性(Explainability)や透明性をQRMの一部として確認する要求がある。
- DI・バイアス評価
- AIが扱うData Integrity、学習データの偏りや品質についての評価が新たに求められる。
- クラウド×AIの活用
- クラウド基盤におけるAI利用を前提とした、ベンダー管理が具体的に追記。
- 継続的パフォーマンス監視(CPV)
- AIモデルは学習後も性能が変動する可能性があるため、継続的なモニタリング・再バリデーションが必要とされる。
