著者

■電子規制対応アドバイザー MBA　蜂谷 達雄 氏
　[業界での関連活動]　ISPE GAMP COP（GAMP Japan Forum）サブリーダ―

■(株)島津アクセス 技術本部 ネットワークサポート室 マネージャー　荻本 浩三 氏
　[業界での関連活動]日本PDA製薬学会 ERES委員会 委員長、ISPE 会員

■PQE ジャパン（株）CSV/CSA & Data Integrity Manager 峠 茂樹　氏
　コンピュータ化システムバリデーションに関するコンサルタント

■エーザイ(株) データインテグリティ推進室 室長　山﨑 龍一 氏
　GMP/CMC個人コンサルタント（?兼務）

■中外製薬（株）ITソリューション部 石川 和斉　氏
　GMP下でのシステム運用保守管理、DI/CSV対応、ITシステム構築・導入など

ポイント詳細

3極薬事規制要件／規制当局の期待

GxP対応における業務プロセスの電子化にあたって，昨今ではクラウドコンピューティングの利用の場面が多くなってきている。そうしたシステムへの対応の際に必要となる手順書や関連文書，およびそれに伴う記録に対するデータインテグリティ対応が重要な焦点になってきているのは，ご承知のとおりである。

また，クラウドコンピューティング利用の際には，規制対象組織はクラウドベンダーやデータセンター等の外部委託業者を利用することになるが，その場合の適切な業者管理の方法等についても気になるところである。クラウドコンピューティング利用の際における，データの信頼性確保，つまりデータインテグリティ対応，および外部委託業者管理の適切な方法について説明する。特に，最近の日本の規制当局の期待を表した動きの一つとして改正された「GMP 省令」と，電子的規制対応に関する世界の規制当局の期待がわかる「PIC/S Annex11」内容を紹介する。

電子データ(電子記録)への対応

規制対応業務プロセスにおいて，クラウドコンピューティング等の電子システムの利用に際しては，電子的に生成されるデータの運用・管理が重要になる。電子データ（電子記録）に関する規制対応に関しては，1997年に発出されたFDA（アメリカ食品医薬品局）のPart111）の規制要件の対応が必要となる。
電子記録の運用・管理に関して期待される規制要件について振り返る。
これまで手作業で行っていた業務プロセスを電子化し，生成されるデータ自体も電子データにすることにより様々なメリットがあることは言うまでもない。正確で迅速な処理ができる，情報の伝達が容易である，データの保管に場所を取らない等はすぐに思いつくところであろう。では一方で，電子化にすることによるリスクはどうなのだろうか。

クラウドサービスの利用形態と利用時の留意点

※＜IaaS＞＜PaaS＞＜SaaS＞クラウドサービス利用時の留意事項※
クラウドサービスを利用する際，セキュリティやデータの管理，コスト，契約条件，サポートなど留意すべき事項があるが，GxP 分野においては，それら一般的な留意事項以外にコンピュータ化システムバリデーション（CSV：Computerized System Validation）や電子記録・電子署名規制など，規制当局が示すガイドラインや規制などに対応をしなければならない。

クラウドを利用する際のリスクやその対策

GxP 分野では，データの信頼性が求められ，データのセキュリティとプライバシーが非常に重要である。
クラウドプロバイダが適切なセキュリティ対策を実施しているかどうかを確認する必要がある。データの暗号化，アクセス制御，監査ログの確保などのセキュリティ対策が不十分な場合，GxP 要件に適合することが難しくなる。また，GxP 分野では，データの所在地と制御が重要な場合もある。クラウドプロバイダがデータをどこに保存し，データの物理的な配置場所がどのように管理されているかを確認する必要がある。特定の国や地域でデータの保存が要件とされる場合，その要件を満たすための制御や管理が必要である。

21 CFR Part 11に代表される電子記録に関する規制やガイドラインでは，データのバックアップを必須事項としている。クラウドプロバイダが提供するバックアップ機能や復旧手順がGxP 要件に適合しているかを確認する必要がある。GxP 分野では，システムのバリデーションや変更管理が必要である。クラウドプロバイダがシステムのバリデーションや変更管理のプロセスを適切に実施しているかを確認する必要がある。

クラウド利用時の利用形態別CSVアプローチ

GxP 業務でコンピュータシステムを利用する場合はコンピュータ化システムバリデーション（CSV）を行う必要がある。これはクラウドでも例外ではないが，クラウドのCSV について丁寧に記載されたガイダンスはない。このため一般の規制対象企業では，システムベンダーのいうままにCSVを行ってはないだろうか。CSV に対する戦略を立てて，社内のガバナンスを利かせて，効率的に取組むことによりCSV だけでなく，システム全体が見える化できるのである。本章ではクラウドにおいてCSV を行う際の留意点を述べ，さらに利用形態（IaaS，PaaS，SaaS）に分けたCSV アプローチを考えてみたい。

クラウドサービスと一口にいっても，これまでにも述べてきたように多種多様である。IaaS，PaaS，SaaS という利用形態の違いもあるし，SaaS だけを取ってもクラウド事業者のサプライチェーンの形態もそれぞれ違いが出てくる。したがって，クラウド利用時のCSVアプローチといっても多種多様であり，定番のバリデーションやクオリフィケーションはなく，それぞれのクラウドサービスに合った方法を考えていく必要がある。

クラウド基盤適格性評価計画書（USR）作成

GxP 分野においてクラウドを利用したシステムは，システムの構築，構成においてクラウド基盤（クラウドサービス）を利用しているというだけで，システムの信頼性を確保するためにコンピュータ化システムバリデーションは必須で実施が求められる。一方，クラウド利用システムは，クラウドプロバイダが提供するクラウド基盤が使用され，機能している。そのため，システムを利用するユーザーはクラウド基盤そのものに対しても，要求仕様（URS）を作成したり，適格性評価を行ったりする必要がある。

クラウド基盤を利用したシステムであってもバリデーションが求められる業務で使用する場合は，URS の作成は必須である。URS 作成の考え方は，オンプレミスの場合と同様で，システムの目的，適用範囲・適用規制要件，関連文書，システム全体への要求事項，機能要件，データ管理に関する要件，セキュリティに関する要件，クラウドプロバイダへの要件などを検討し，URS としてまとめる。

FDA 査察対応 ・指摘事項

クラウドであるプラットフォーム基盤（Platform）の上に，ITメーカーが対象となるDMS などのソフトウエアを配置し，ユーザーに提供していることになる。クラウド系ITシステムをユーザーが導入・維持・管理・拡張（企業内の多部門に展開する場合）するとなると，ユーザー（企業）はソフトウエア提供メーカーと契約を結ぶことになるが，基盤であるプラットフォームを提供しているメーカーとユーザー間で直接契約を結ぶことはない。即ち，プラットフォーム部分の適切な管理・運用に関する情報を，ユーザーは的確・適時に入手できる環境を構築することが非常に重要である。クラウド系IT システムのFDA 査察対応を考えると，ソフトウエア供給メーカー及びプラットフォーム供給メーカーに対する管理体制の構築が非常に重要である。

目次

第1章　クラウドコンピューティング利用でのGMP省令改正、PIC/S(Annex11)における留意点
　　　　～データの信頼性確保、DI対応、外部委託業者管理方法～
はじめに
1.　GMP 省令改正の概要
　1.1　GMP 省令改正の背景
　1.2　GMP 省令改正における見直しの方針
　1.3　GMP 省令改正におけるデータインテグリティ要件
　1.4　GMP 省令改正における外部委託業者管理要件
2.　PIC/S Annex11の概要
　2.1　Annex11 におけるデータインテグリティ要件
　2.2　Annex11 における外部委託業者管理
　2.3　Annex11 の今後
おわりに

第2章　クラウドコンピューティング等の電子システム利用におけるFDA　Part11、およびER/ES指針要件
はじめに
1.　データの電子化に関するリスク
　1.1　フォーマットの完全性の保持に関するリスク
　1.2　ハードウェアの故障によるリスク
　1.3　保存メディアによるリスク
　1.4　データ消失のリスク
　1.5　セキュリティリスク
2.　電子記録に対する基本的要件
　2.1　真正性
　2.2　見読性
　2.3　保存性
3.　主なER/ES 規制
　3.1　21 CFR Part11
　　3.1.1　21 CFR Part11の概要
　　3.1.2　Part11 発行の経緯
　　3.1.3　Part11 における電子記録に関する要件
　　3.1.4　Part11における電子署名に関する要件
　　3.1.5　Part11 における電子署名の形式による要件
　3.2　厚生労働省ER/ES 指針
　3.3　電子記録の真正性のための要件
　　3.3.1　セキュリティ対応
　　3.3.2　監査証跡（オーディットトレイル）
　　3.3.3　バックアップ対応
　3.4　バックアップとリトリーブ
　3.5　バックアップとアーカイブ
おわりに

第3章　クラウドコンピューティングを含めたCSV要件
はじめに
1.　バリデーションと適格性評価
　1.1　設計時適格性評価（Design Qualification：DQ）
　1.2　据付時適格性評価（Installation Qualification：IQ）
　1.3　運転時適格性評価（Operation Qualification：OQ）
　1.4　性能適格性評価（Performance Qualification：PQ）
2.　コンピュータ化システムバリデーション（CSV）
3.　適格性評価とテスト
4.　ソフトウェアカテゴリ分類
　4.1　カテゴリ1「基盤ソフトウェア」
　4.2　カテゴリ3「構成設定していない製品」
　4.3　カテゴリ4「構成設定される製品」
　4.4　カテゴリ5「カスタムアプリケーション」
5.　バリデーションアプローチ
　5.1　ソフトウェアカテゴリ分類
　5.2　製品品質/ 患者の安全に関するリスクアセスメント
　　5.2.1　初期リスクアセスメント
　　5.2.2　機能リスクアセスメント
　5.3　サプライヤアセスメント
6.　トレーサビリティマトリクス
7.　CSV 対応に対する査察指摘事例
おわりに

第4章　電子データに対するデータインテグリティ対応のポイント
はじめに
1.　データ関連の主な用語の定義
　1.1　データ
　1.2　生データ
　1.3　メタデータ
2.　ALCOA 原則
　2.1　 Attributable（帰属性）
　2.2　Legible（判読性）
　2.3　Contemporaneous（同時性）
　2.4　Original（原本性）
　2.5　Accurate（正確性）
　2.6　Complete（網羅性）
　2.7　Consistent（一貫性）
　2.8　Enduring（永続性）
　2.9　Available（利用可能性）
3.　データインテグリティに関するFDA 査察指摘事例
　・必要とされる生成されたデータ・情報のすべてを記録・データとして含んでいない
　・対象システムの監査証跡機能に関する不備
　・一意のユーザの特定ができない
　・対象データに対する不適切なアクセス権限の設定
　・対象データのレビューの欠如
　・動的データの保持の欠如
　・バリデーションされたシステムを利用していない
4.　データインテグリティ対応におけるポイント
　4.1　ALCOA＋
　4.2　オリジナルデータに対する意識
　4.3　電子記録に対する規制要件との関連性
おわりに

第5章　クラウドの基礎・利用形態とGxP システムにおけるクラウド利用
はじめに
1.　クラウドの歴史
2.　クラウド利用のメリット
　2.1　柔軟性と拡張性
　2.2　コスト削減
　　2.2.1　初期投資の削減
　　2.2.2　運用費用の最適化
　　2.2.3　スケーリングの柔軟性
　　2.2.4　メンテナンスコストの削減
　　2.2.5　オンデマンドのサービス利用
　2.3　バックアップと復旧
　　2.3.1　データのバックアップ
　　2.3.2　災害復旧
　　2.3.3　スナップショットとバージョン管理
　　2.3.4　ファイルレベルとシステムレベルのバックアップ
　　2.3.5　オンデマンドのデータ復旧
　2.4　セキュリティとプライバシー
　　2.4.1　データセキュリティ
　　2.4.2　ネットワークセキュリティ
　　2.4.3　アクセス制御
　　2.4.4　データプライバシー
　　2.4.5　コンプライアンス
　2.5　グローバルなアクセス
　　2.5.1　地理的な分散
　　2.5.2　遅延時間の最適化
　　2.5.3　コンテンツデリバリーネットワーク（CDN）の活用
3.　クラウドの利用形態
　3.1　パブリッククラウド
　3.2　プライベートクラウド
　3.3　ハイブリッドクラウド
　3.4　コミュニティクラウド
4.　クラウドサービス
　4.1　IaaS
　4.2　PaaS
　4.3　SaaS
5.　GxP におけるクラウドサービスの利用
　5.1　クラウドサービス利用の利点
　5.2　クラウドサービス利用時の留意事項
おわりに

第6章　GxP分野におけるクラウドで考慮すべきリスクとその対応
はじめに
1.　クラウド利用におけるリスクと対策
　1.1　セキュリティ
　1.2　サービス停止
　1.3　クラウドプロバイダの信頼性
　1.4　コスト
　1.5　地政学的リスク
2.　クラウド利用の留意事項
　2.1　データバックアップ
　2.2　契約条件
　2.3　ベンダーロックイン
　2.4　データとサービス移行
　2.5　クラウドプロバイダが提供するサービス
3.　GxP 分野におけるリスクと対策
おわりに

第7章　GxP分野で利用されるクラウド基盤のＵＲＳ作成と適格性評価
はじめに
1.　クラウド利用システムにおけるバリデーション
　1.1　クラウド基盤のカテゴリ
　　1.1.1　IaaS のカテゴリ分類
　　1.1.2　PaaS のカテゴリ分類
　　1.1.3　SaaS のカテゴリ分類
2.　クラウド基盤のURS
　2.1　IaaS のURS
　2.2　PaaS のURS
　2.3　SaaS のURS
3.　サービスレベル契約（SLA：Service Level Agreement）
　3.1　サービスの可用性
　　3.1.1　サービスの稼働時間
　　3.1.2　サービスのダウンタイム（可用性の保証）
　　3.1.3　サービスの復旧時間
　　3.1.4　補償
　　3.1.5　監視と報告
　3.2　パフォーマンス
　　3.2.1　応答時間
　　3.2.2　処理能力
　　3.2.3　帯域幅
　　3.2.4　データの処理時間
　3.3　セキュリティ
　　3.3.1　データの暗号化
　　3.3.2　アクセス制御
　　3.3.3　データのバックアップとリストア
　　3.3.4　セキュリティ監視と脅威対策
　　3.3.5　データの分離
　　3.3.6　セキュリティ評価と監査
　3.4　データバックアップ
　　3.4.1　バックアップの頻度
　　3.4.2　バックアップの保持期間
　　3.4.3　バックアップの方法
　　3.4.4　バックアップの完全性と整合性
　　3.4.5　バックアップとリストアのテスト
　3.5　サポートと保守
　　3.5.1　問合せ方法
　　3.5.2　問合せへの応答時間
　　3.5.3　障害対応と修復時間
　　3.5.4　アップデートとメンテナンス
　　3.5.5　サービスレベルの監視と報告
4.　クラウド基盤の適格性評価
　4.1　IaaS の適格性評価
　4.2　PaaS の適格性評価
　4.3　SaaS の適格性評価
おわりに

第8章　クラウド利用時のデータインテグリティ対応/CSV アプローチと利用時の留意点
はじめに
1.　クラウドに対する規制当局の考え方
　1.1　製薬業界におけるクラウドのメリット
　1.2　FDA におけるクラウド利用
2.　規制当局によるクラウド利用時の考慮点
　2.1　FDA ガイダンスに見るクラウド利用時の要件
　2.2　EMA におけるクラウド利用の要件
　2.3　MHRA DIガイダンスに見るクラウド利用の要件
　2.4　まとめ
3.　戦略的アプローチ
　3.1　概要
　3.2　各論
　　3.2.1　クラウドのサプライチェーン
　　3.2.2　SaaS 事業者のサプライヤアセスメント
　　3.2.3　クラウド事業者との契約
　　3.2.4　サービスレベル合意書（SLA）
　　3.2.5　品質合意書
4.　クラウドベースサービスのバリデーション/ クオリフィケーションの方法
　4.1　SaaS バリデーションアプローチ
　4.2　IaaS バリデーションアプローチ
　4.3　PaaS バリデーションアプローチ
5. 　マルチテナントクラウド
まとめ

第9章　クラウド系ITシステムに関するFDA査察対応
1.　クラウド系IT システムのFDA 査察対応が必要となる背景
2.　FDA 査察の事前準備
　2.1　パッケージCSV ドキュメント
　2.2　クラウド系IT システムの維持・メンテナンスに関するドキュメント
　2.3　システム台帳
　2.4　使用者リスト（アドミニストレーター，フルユーザー，ライトユーザー）
　2.5　システム障害に対する対応策（サプライヤーからの通知）
　2.6　問い合わせ・苦情
　2.7　変更管理のドキュメント一式
　2.8　逸脱処理のドキュメント一式
　2.9　ユーザーアカウント管理
　2.10　クラウド系IT システムの定期照査（外部から不正アクセスなど）

第10章　クラウド基盤適格性評価計画書作成
1.　製造所におけるコンピュータ化システムバリデーションが重要である背景
2.　コンピュータ化システムバリデーション（CSV）の内容
　2.1　IT システムのCSV の実践
　2.2　クラウド系ITシステムのCSV での着眼点

第11章　クラウド下でのシステム導入事例～工場デジタル化とGMP下でのクラウド利用
はじめに
1.　工場デジタル化施策
　1.1　工場デジタル化の戦略
2.　工場デジタル化の実現
　2.1　計画アサインメントシステム
　　2.1.1　導入目的
　　2.1.2　システム概要
　2.2　遠隔支援システム
　　2.2.1　導入目的
　　2.2.2　システム概要
　2.3　教育認定システム
　　2.3.1　導入目的
　　2.3.2　システム概要
3.　クラウドサービスの活用
　3.1　CSI の利用
　3.2　工場デジタル化におけるCSI/AWSサービスの活用
4.　遠隔支援システムの開発とバリデーション活動
　4.1　遠隔支援システムの機能要件と対応
　4.2　遠隔支援システムの環境要件と対応
おわりに