「21 CFR Part11」とは、米国FDA(米国食品医薬品局)が定めた電子記録・電子署名に関する規則のことです。1997年の発行以来、医薬品製造における重要な指針となっています。製薬業界でペーパーレス化が進む今、21 CFR Part11の対応に追われる企業も少なくありません。そこで今回は、「21 CFR Part11」の概要や対応ポイントを分かりやすく紹介します。
※データインテグリティの全体像について知りたい方は、「データインテグリティ(DI)とは?対応が必要な理由と対策を分かりやすく解説!」も合わせてお読みください。
目次
そもそも「21 CFR Part11」とは?
「21 CFR Part11」とは、FDAによって1997年8月に発行された、電子署名(ES)・電子記録(ER)に関する規則のことです。趣旨としては、「コンピュータシステムが一定の要件を満たしていれば、電子記録や電子署名も紙の記録・手書きの署名と同等の信頼性がある」ことを認める内容となっています。
ちなみに「21 CFR Part11」の「CFR」とは、「The Code of Federal Regulations」の略でアメリカの「連邦規則集」のことです。アメリカでは50巻におよぶ連邦規則集があり、うち21巻目(Title21)がFDAと麻薬取締局の担当する「Food and Drugs(食品と薬物)」となっています。21巻は1~1499章(part)までに分かれており、11章(Part11)が電子記録・電子署名に関する規則です。つまり、「21 CFR Part11」という表記は、連邦規則集21巻の11章を意味しています。日本では、「Part11(パートイレブン)」と呼称されるケースも多いです。
「21 CFR Part11」の生まれた背景・これまでの経緯とは?
「21 CFR Part11」は、どのような背景で生まれ、どう変遷してきたのでしょうか。
ここでは、「21 CFR Part11」が制定された目的とその後の経緯について紹介します。
(1)生まれた背景・目的
1990年代、アメリカの製薬業界では試験データや製造記録の電子化が進んでいました。しかし、当時は電子署名が正式に認められておらず、「電子記録をわざわざ印刷して署名する」という手間が生じていました。そこでFDAでは、製薬業界のペーパーレス化を目指し、電子記録や電子署名に関する法案の討議をスタートしたのです。結果として、「21 CFR Part11」が1997年3月20日に公示され、同8月20日より施行になりました。
電子記録は、紙と比べて「修正履歴が残りにくく改ざんされやすい」「なりすましによる署名が可能」という課題があります。ですが、「21 CFR Part11」によって、電子記録・電子署名の信頼性を証明するための要件が提示されました。これを満たせば、電子記録も紙と同様に信頼され、正式に使用できることが表明されたのです。
(2)制定後の経緯
「21 CFR Part11」は条文が難解であり、レガシーシステムでの運用や対応も難しいことから、業界内では懸念が広がりました。そこでFDAは電子記録の維持管理やコピー、タイムスタンプをはじめ「21 CFR Part11」の運用方法について5つのガイダンスを発表し、業界へ理解を促しました。5つのガイダンスはのちにすべて棄却されましたが、最新のガイダンスである2003年の「Part 11, Electronic Records; Electronic Signatures – Scope and Application」(※)では、「Part11は今でも有効である」旨が示されています。Part11単体を根拠とするWarning Letterは発出されていないものの、「21 CFR Part11」は現在も対応が不可欠な条文と言えるでしょう。
※参考:Part 11, Electronic Records; Electronic Signatures – Scope and Application|FDA
「21 CFR Part11」の構成と概要とは?
「21 CFR Part11」の条文は、「Subpart A・B・C」(※)という3つのパートに分かれています。各パートでは、具体的にどのような内容が示されているのでしょうか。ここでは、各パートの概要や意図について紹介します。
※参考(「21 CFR Part11」原文):CFR – Code of Federal Regulations Title 21|FDA
(1)Subpart A 一般規定
「Subpart A」は序文のような位置づけであり、「21 CFR Part11」の目的や用語の定義が紹介されています。
<具体的な内容>
◆「21 CFR Part11」に定めた基準を満たすことで、電子記録・電子署名・電子記録に付した手書き署名は、紙の記録・手書き署名と同等の信頼性を持つ
◆コンピュータシステムや該当書類は、FDAの査察時に閲覧可能な状態にする
◆電子記録とは、コンピュータシステムによって作成や変更が可能なデジタル形式の文章・図表などをいう
◆デジタル署名とは、署名者の本人確認ができており、認証を暗号化できる電子署名のことである
(2)Subpart B 電子記録
「Subpart B」では、電子記録の作成・管理についてのルール、署名で筆記すべき項目などが説明されています。
<具体的な内容>
◆正確性や信頼性を保証するという観点で、システムのバリデーションを行う
◆電子記録について、正確で完全なコピーを作成できるようにする
◆許可された人のみシステムにアクセスできるようにする
◆保管期間を通じて、記録を容易に検索できるよう保護する
◆監査証跡を使用し、かつ内容をFDAがチェック・コピーできるようにする
◆電子記録・電子署名に関与する人は、必要な教育・訓練を受ける
◆システムの運用に関して文書を配布し、適切な管理を行う
◆有効性を証明するため、装置やシステムの稼働状況は適宜チェックを行う
◆署名された電子記録には、署名者の指名・署名の日時・署名の意図が表示されるようにする
(3)Subpart C 電子署名
「Subpart C」では、電子署名についての管理方法や要求事項などが説明されています。
<具体的な内容>
◆電子署名は、一人ひとり独自のものを使用する
◆電子署名は使用前に本人確認を行い、ほかの人に再割り当てをしてはいけない
◆生体認証(バイオメトリクス)を使用する場合、所有者以外は誰も使用できないような方法にする
◆生体認証を使用しない場合は、識別コード+パスワードのように2種類の識別要素を用意する
「21 CFR Part11」で求められる対応ポイントとは?
「21 CFR Part11」は、医薬品製造の現場でどのように対応すればよいのでしょうか。
ここでは、大きく6つのポイントに分けて対応方法を紹介します。
(1)バリデーション
「21 CFR Part11」では、使用するシステムのバリデーションが求められています。バリデーションとは、「ユーザーの要求どおりにシステムが稼働する」と証明することです。具体的には、「21 CFR Part11」で必要とされる機能(監査証跡や真正コピー、電子署名など)がシステムに反映されるよう、要求仕様書やシステム仕様書を作成します。そのうえで、機能が正しく搭載されており、正常に動くかどうかをテスト・チェックすることが重要です。また、システムは一度開発して終わりではなく、問題がないか定期的に検証するようにしましょう。
(2)ユーザー管理
「21 CFR Part11」では、セキュリティの堅牢さについて厳しく言及されています。特にユーザー管理に関しては、物理的・論理的の両面でアクセス管理を行うことが大切です。物理的なアクセス管理とは、物理的にシステムへの接触を制限する方法を指します。例えば、権利者以外は入れないように部屋を施錠したり、入退室に制限を設けたりという方法です。一方の論理的なアクセス管理は、システム上のセキュリティ対策を意味します。例えば、IDとパスワードという2種類の方法、あるいは生体認証で高セキュリティな個人認証を行うことです。
ちなみに生体認証(バイオメトリクス)とは、指紋や顔、眼球の虹彩などの身体的な情報で認証することを言います。生体情報は本人しか持ちえない独自の情報なので、なりすましを防ぎやすいのが特徴です。かつ、製薬業界ではIDやパスワードが長い傾向にあり、入力時に手間がかかってしまいます。その点、生体認証は非常にスピーディーです。そのため、「PIC/SのGMPガイドラインを活用する際の考え方について」(一部改正後※)をはじめとする各ガイドラインでは、不正入力を予防する適切な方法として生体認証が推奨されています。
※参考:「PIC/SのGMPガイドラインを活用する際の考え方について」の一部改正について|PMDA(PDF)
(3)データの長期保存
「21 CFR Part11」では、データが必要な期間保存され、検索可能な状態であることが不可欠です。そのため、システム上のデータはアーカイブ・バックアップなどの方法で別の媒体へ移し、長期保存するようにしましょう。
ちなみに「アーカイブ」とは、必要なデータのみ別の媒体に移動させることを言います。また「バックアップ」とは、OSやプログラムなどの全データを別媒体に移動させることです。人為的なミスや災害によるデータの消失を防ぐためには、アーカイブ・バックアップどちらの方法も行い、データを長期保存することが重要でしょう。
(4)正確で完全なコピーの作成
データは必要なタイミングで出力でき、閲覧できる状態にする必要があります。ただ、データの出力時に一部の情報が欠損したり、見えなくなったりすることは許されません。つまり、システムには「正確で完全なコピーを作成する性能」が求められているということです。例えば、データを紙へ印刷する際に解像度が下がらないようにしたり、PDFやXMLなどの標準的なファイル形式での書き出しを可能にしたりという対策が求められます。
(5)監査証跡
「21 CFR Part11」では、「記録の変更時に“変更以前”の情報が見えなくなってはいけない」という内容が示されています。つまり、変更履歴についても随時保存し、常にレビューできなければいけません。そこで必要なのが、「監査証跡」の機能です。監査証跡とは、データの作成や変更についてすべての履歴を時系列で保存できる機能のことを言います。システムを導入する際には監査証跡の機能があることを確認するようにしましょう。
(6)電子署名
「21 CFR Part11」では、電子署名に関するいくつかのルールも定められています。例えば、電子署名を行う際には、「署名者の氏名」「署名の日時」「署名の理由」の記入が必須です。また、電子署名は事前に本人のものであることを確認し、他人との貸し借りや再割り当ては禁止するようにしましょう。そして、電子署名のなりすましや不正利用が発生しないよう、生体認証をはじめユニークな方式で行うことも大切です。
「21 CFR Part11」への対応には、最適なシステムの活用を
「21 CFR Part11」に対応するためには、条文を正しく理解し、必要な性能を備えたシステム・ソフトウェアを導入することが大切です。当社では、「21 CFR Part11」の要件に準拠した形で、医薬品製造における情報を統合管理できるシステム「FIDIUS」を提供しています。厳重かつ効率的なユーザー管理を行い、詳細な監査証跡の記録・検索・出力が可能。「ALCOA+」原則を満たすために必要な性能がそろっており、データインテグリティの対応にも有効です。「21 CFR Part11」への対応をご検討の際は、ぜひ当社までお気軽にご連絡ください。