GDP：#4　コンピュータ化システムに対する要件③

こんにちは、パースペクティブの田中です。

さて今回も前回に引き続き、GDPにおいてコンピュータ化システムに対して求められていることを確認していきます。厚生労働省「医薬品の適正流通（GDP）ガイドライン」の3.5.3章からですね。今回は3.5.3章と3.5.4章をまとめてみていきましょう。  

3.5.3 コンピュータ化システムへのデータの入力及び変更は、権限を設定された者のみが行うこと。

3.5.4 データは物理的又は電子的手法によって保護し、偶発的又は承認されない変更から保護すること。
保管されたデータにアクセスできる状態を維持すること。 
データを定期的にバックアップして保護すること。
バックアップデータを分離された安全な場所で国の規制に定められた期間保管すること。 

これらはすべてデータインテグリティを確保するための要件でもありますね。つまり、GDPの領域においてもGMP（Good manufacturing Practice）やGCP（Good Clinical Practice）等と同様にデータインテグリティを意識して業務を行ったり、コンピュータ化システムを導入・運用していったりすることが求められています。データインテグリティについては本ブログでもこちらで連載をしていますので、ご興味のある方はぜひご覧ください。

ここでは、3.5.3章と3.5.4章の中から要件となる要素をひとつずつ抜き出し、それぞれに対して具体的な対応方法の例を挙げてみたいと思います。なお、こちらでご紹介している例はあくまでも参考であり、必ず対応しなければならない事項ではありません。各社において相応しい対応方法をご検討いただくにあたり、少しでも参考にしていただけると幸いです。

 コンピュータ化システムへのデータの入力及び変更は、権限を設定された者のみが行うこと

→コンピュータ化システムには、操作毎に権限を設定できる機能を実装する。さらにその機能を用いて、業務上必要となる担当者のみがデータの入力及び変更ができる設定をする

 データは物理的又は電子的手法によって保護し、

→データは物理的にアクセスが管理された場所（施錠されたサーバルーム、外部データセンタ等）に保管する。または、利害関係者（データを作成、レビュー、承認する部門の関係者）が監査証跡なしにデータを変更または削除できないように、電子的なデータ保管領域に対するアクセス（例えば、データベースやフォルダへの直接的なアクセス）を制限する

保管されたデータにアクセスできる状態を維持すること

→業務上、当該データへのアクセスが必要な担当者（業務実施者、レビュー者、承認者、メンテナンス担当者等）に対して、必要最低限のレベルでアクセス権限を付与する。さらに、コンピュータ化システムを更新する場合は、人が理解できる形式でデータをアーカイブまたは新システムへ移行する

データを定期的にバックアップして保護すること

→バックアップの機能を有効にし、毎日定められた時刻に自動でデータ一式をバックアップする

補足：オリジナルのデータと同様に、バックアップデータにも完全性が求められています。そのため、バックアップの取得が担当者の意志に依存することを避けるため、可能な限り自動で取得することが推奨されています

バックアップデータを分離された安全な場所で国の規制に定められた期間保管すること

→バックアップデータはオリジナルのデータとは物理的に独立した安全な場所（例えば、自社またはクラウドベンダーの別サイト）に保管する。さらに、バックアップデータの保管期間はオリジナルデータと同等とする

今回で3回目となる「コンピュータ化システムに対する要件」も残りわずかとなりました。本テーマはあと1回で完結する予定です。次回もぜひよろしくお願いいたします。