こんにちは。Ekran(エクラン)営業支援担当のコルンジックです。
近年、製薬業界では「データインテグリティ」への注目がさらに高まっています。
薬品の安全性に関わるクローバル基準「GLP」における、データインテグリティ対策の具体的な要件が発表されたためです。
今回は、この中にある監査証跡の要件に対し、Ekranを最適ツールとしておすすめする理由を解説します。
GLP(Good Laboratory Practice)とは
医薬品/医薬部外品の安全性に関わる非臨床試験(人体への治験を行わない試験)を行う試験所には、正確かつ信頼性のある試験データを得るために設けられた、国際基準があります。「Good Laboratory Practice(優良試験所基準)」といい、1981年にOECD(経済開発協力機構)によって制定されました。
OECD加盟国である日本もこの基準に合わせて省令が敷かれ、規制当局による適合審査が行われます。
医薬品/医薬部外品の安全性に関わる非臨床試験(人体への治験を行わない試験)を行う試験所には、正確かつ信頼性のある試験データを得るために設けられた、国際基準があります。
「Good Laboratory Practice(優良試験所基準)」といい、1981年にOECD(経済開発協力機構)によって制定されました。
OECD加盟国である日本もこの基準に合わせて省令が敷かれ、規制当局による適合審査が行われます。
OECD加盟国である日本もこの基準に合わせて省令が敷かれ、規制当局による適合審査が行われます。
データインテグリティとは
GLPが求める要件のひとつに、「データインテグリティ」というものがあります。
データインテグリティ(Data Integrity)とは、直訳すると「データが完全な状態であること」。すなわち、データに欠損や不整合がなく、偽装・消去・改ざんがされていないと証明できる状態を指します。
薬品の安全性をはかる試験データの正確性・信頼性は、私たちの身の安全に大きく関わります。
もともとGLPが制定されたのは、1960年頃に世界各国で被害が報告された「サリドマイド事件」がきっかけです。
この薬害事件の一因として、薬品の安全性試験における虚偽や捏造があったため、テータインテグリティが重視されるのは当然のことといえます。
具体的な指標として「ALCOA+」という基本原則があり、試験で得られるデータは、以下9つの原則にのっとったものであることが要求されます。
Attributable 【帰属性】… データの所有者・帰属・責任が明確であること Legible 【可読性】… データが判読でき、理解可能であること Contemporaneous【同時性】… データの生成と記録が同時であること Original 【原本性】… データが原本または原本の完全なる複製であること Accurate 【正確性】… データが正確で真なるものであること Complete 【完全性】… データが完全で欠落がないこと Consistent 【一貫性】… データが一貫して矛盾がないこと Enduring 【永続性】… データが必要とする全期間において永続していること Available 【可用性】… データが必要なときに利用可能であること |
データインテグリティにおける監査証跡(オーディットトレイル)の必要性 |
2021年9月、OECDから下記の文書が発出されました。
GLP文書 No.22-GLPデータインテグリティに関するGLP作業部会のアドバイザリー文書-
本アドバイザリー文書には、
- データ監査証跡(6.13項)
- データ監査証跡のレビュー(7.2項)
という項目があります。
6.13項では、コンピューターを使用して試験データを扱う際に、データの正確性・完全性を裏付ける証拠として、監査証跡(オーディットトレイルともいいます)を取ること、7.2項では、収集した監査証跡を必要に応じてレビューすることが指示されています。
画像とテキストでコンピューター操作を記録するEkranは、上記2つの項目に対応した製品です。
各項目の具体的な内容を参照しながら、Ekranがこれらの要件にどのように役立つか、ご説明いたします。
データ監査証跡(6.13項)
- コンピュータ化システムを使用してデータを電子的に収集、処理、修正、報告、保管又は 保存する場合、過去のデータを保持しつつ、データへの全ての変更又は削除を示す監査証跡の保持をシステム設計で常に規定する必要がある。
- 監査証跡には、プロセス又は活動の再構築を可能にする関連項目が含まれていなければならない。
Ekranは画像とテキストでコンピューター上の操作内容を網羅的に記録します。
画面上に表示されたグラフやインジケーターの内容を画像で丸ごと取得し、ユーザーのマウス操作やキーボード操作も追跡することができます。
画面上に表示されたグラフやインジケーターの内容を画像で丸ごと取得し、ユーザーのマウス操作やキーボード操作も追跡することができます。
データ処理のプロセスや、データに変更があった際の操作内容を視覚的に把握できるため、ALCOA+原則の「可読性」は、文字通り一目瞭然といえます。
ユーザーの操作に合わせて画像記録を取る独自方式を採用しているため、データの「同時性」も高く、再生記録から「誰が、いつ、何をしたか」が明確にわかるので、データの「帰属性」にも優れています。
- 監査証跡は、GLP活動中は常にオンにしておくべきである。
EkranはユーザーがOSにログインすると自動的に記録を開始し、ログアウトしたタイミングで記録を終了します。
特定のユーザーや特定のアプリケーションのみ記録を取ることもできるため、GLP活動中以外は記録をオフにすることも可能です。
- データに直接関わりを持つ職員(試験責任者、分析部門の責任者、試験担当者など)は、監査証跡の機能を修正したり、オフにしたりする権限を持つべきではない。
Ekranエージェントは、ユーザーの任意で記録を変更/停止する機能がありません。
記録の停止や設定変更は管理者用のツール(以下、Web管理ツール)で行いますので、不正行為に及ぼうとするユーザーが勝手に記録を中断させることはできません。
証跡データは即時サーバーへ送られるため、ユーザーに消去される恐れもありません。
オフライン時は改ざん・消去から保護された形で、ローカルディスク上に記録を取り続けます。
これらの機能によって、データの「正確性」「永続性」「原本性」が維持されます。
EkranのWeb管理ツールは、ツール上の操作履歴を自動的に記録します。
Ekran管理者がEkranクライアント(エージェント)を不正にアンインストールしたり、設定変更したりしていないか、この記録により監査することができます。
また、管理者用ユーザーはWeb管理ツールで任意に追加することができ、ユーザーごとに異なる権限を設定できます。
管理者個人の特定がしやすく、個々の役割に合った権限を与えることができますので、管理者の「帰属性」も明確になります。
Ekranで取得された証跡データは、必要なときに必要な記録を簡単に探し出すことができます。
レビューに必要な証跡データは、サーバーにアクセス可能な環境であればURLで共有でき、サーバーにアクセスできない遠隔地や外部の監査機関に対しては、独自形式で再生記録をエクスポートし、共有することができます。
エクスポートされたファイルは暗号化され、専用ツールでのみ再生可能です。
データの「一貫性」を保ちつつ「可用性」を実現できるのは、Ekranの大きな特長です。
これらの機能によって、データの「正確性」「永続性」「原本性」が維持されます。
- システム管理者が監査証跡機能を修正又はオフにした場合には、監査証跡は自動的にこの活動を記録し、監査証跡機能が再びオンになったときにも自動的に記録しなければならない。
EkranのWeb管理ツールは、ツール上の操作履歴を自動的に記録します。
Ekran管理者がEkranクライアント(エージェント)を不正にアンインストールしたり、設定変更したりしていないか、この記録により監査することができます。
また、管理者用ユーザーはWeb管理ツールで任意に追加することができ、ユーザーごとに異なる権限を設定できます。
管理者個人の特定がしやすく、個々の役割に合った権限を与えることができますので、管理者の「帰属性」も明確になります。
データ監査証跡のレビュー(7.2項)
- 監査証跡の全ての保持データの中から関連するデータを特定し、堅牢なデータレビュー/検証を可能にする必要がある。
- レビューは、システムの監査証跡に直接アクセスするか、適切に設計され検証されたシステムのレポートを使用することによって達成することができる
証跡データを管理するWeb管理ツールは、一般のWebブラウザから起動しますので、サーバーにアクセス可能であれば、場所を選ばずどこからでも記録を再生することができます。
抽出条件を使って対象期間やログインユーザーを絞り込んだり、フリーワード検索によってユーザーが手入力した、あるいはウィンドウタイトルに表示された試験のLot番号を検索したりすることができます。
抽出条件を使って対象期間やログインユーザーを絞り込んだり、フリーワード検索によってユーザーが手入力した、あるいはウィンドウタイトルに表示された試験のLot番号を検索したりすることができます。
レビューに必要な証跡データは、サーバーにアクセス可能な環境であればURLで共有でき、サーバーにアクセスできない遠隔地や外部の監査機関に対しては、独自形式で再生記録をエクスポートし、共有することができます。
エクスポートされたファイルは暗号化され、専用ツールでのみ再生可能です。
データの「一貫性」を保ちつつ「可用性」を実現できるのは、Ekranの大きな特長です。
監査証跡を文書化する際には、レポート機能で出力したテキストログが役に立ちます。
まとめ
以上の解説をまとめると、GLPのデータインテグリティ要件にEkranをおすすめする理由は、以下の4つです。
- 画像とテキストで証跡を取るため、操作内容が一目でわかりやすい
- 証跡データが堅牢に保護され、記録の変更・停止からも守られている
- 証跡データの管理者動向も管理・監視できる
- 証跡データを共有する際の利便性とセキュリティが両立している
Ekranはクレジットカード事業でも「PCI DSS」という情報セキュリティ基準に対応しています。
製薬事業においても、データの正確性、信頼性を保証する監査証跡ツールとして、エンドユーザー様のお役に立ちます。
- 既存のレガシーシステムに監査証跡機能を”ちょい足し”したい
- 試験所で扱うデータをDX化するまでの間、定期監査対策に利用したい
このようなご要望をお持ちでしたら、ぜひ下記のリンクからお問い合わせください。
次回の更新も、どうぞお楽しみに!
(執筆:Ekran営業支援 コルンジック)
==ご注意==
本記事は、本製品の導入により記事内のGLP当該要件が満たされることを保証するものではございません。
GLPを含むGxP規制対応については、専門会社様の助言サービス等のご利用をお勧めします。
本製品は事前のトライアルが可能ですので、ご利用目的を達せられるかを事前に十分にお確かめください。
======