C-CAST CORPORATION 業界トピックス（Vol.7）株式会社シ-・キャスト代表荻原健一 IT インフラの適格性への対応が必須へ！－EU GMP Annex11 Computerized System の新たな要件ー 1 概要昨年（2011 年）1 月にファイナルが発行された EU GMP Annex11 Computerized System においては、その主文に「The application should be validated; IT infrastructure should be qualified. （アプリケーションはバリデーションされていなければならない、IT インフラストラクチャは適格性が評価されていなければならない。）」との記述が明記された。規制当局側からの要件として初めて IT インフラの重要性に言及しており注目に値する。コンピュータ化システムにおけるバリデーション（CSV）はシステム毎に実施していくことになるが、今日ではこれらのシステムがネットワークを介して有機的に接続され、システム全体として機能しているケースが多くなっている。このようなシステム構成をとっている場合では、もはやシステム単体としての CSV では不十分である。これらを接続しているネットワークを中心とした IT インフラを保証できなければならず、単独の CSV だけでは意味はない。また、IT インフラの適格性を評価する活動は、単に規制適合上の理由からだけではなく、企業活動における危機管理という観点でも重要な意味を持つ。 2 IT インフラと適格性評価のアプローチ ITインフラはビジネスアプリケーションを利用するための基盤であり、例としてネットワーク、サーバ・クライアントハードウエア、OSのようなプラットフォームが挙げられる。これらの基盤をシステムユーザが自社で保有し管理運用する企業もあれば、クラウドコンピューティングにみられるようにアウトソーシングする企業も最近では増えている。クラウドコンピューティングは、設備費用が軽減でき、資産の陳腐化が避けられるメリットがある反面、企業の重要な情報が直接の管理下にないことがリスクとなる。 GxP規制対象業務に係るアプリケーションをクラウド環境下で利用するような場合においても、規制適合の責任はあくまで規制対象企業側にあることは言うまでもない。 IT インフラはコンピュータシステム全体における基盤部分にあたることから、その適格性評価のための活動はコンピュータ化システムバリデーション（CSV）の取組みに包含される。IT インフラを対象とした個別の活動は CSV における活動手順を踏襲しつつ特記的な内容を加味して実施する。 1/3 C-CAST CORPORATION 2.1 体制の確立 IT インフラの適格性評価に取組む体制としては、情報システム部門が中心となって関連部門と協力するような形が一般的と考える。情報システム部門は必ずしも GxP 規制要件に詳しい部門ではないため、必要な専門知識を持った他部門のメンバー（SME：特定分野の専門家）を体制に含めることが必要となる。推奨されるメンバー構成を以下に示す。  トップマネージメント：全社的な活動として推進し、必要なリソースを確保する。  情報システム部門：技術的仕様に通じ、全社的に IT インフラを管理運用する。  システム利用部門：IT インフラ上でビジネスアプリケーションを利用する部門として要求を提示する。  品質保証部門：GxP 規制要件、社内品質規定や指針に照らし合わせて活動の内容を確認・承認する。  サプライヤ：具体的な作業の実施担当。クラウドコンピューティングにおいてはサービスプロバイダとして契約内容に応じたサービスを提供する。  コンサルタント：適格性評価のあるべき姿を提示する。企業で初めての取り組みには特に有効であり、また社内にリソースが不足している場合にも有効である。 2.2 指針の確立メンバーが最初に取り組むことは、IT インフラ適格性評価についての指針を確立することである。既に企業内に CSV の指針文書やガイドラインがある場合はそれが基本となる。同様に、情報セキュリティについても既に企業の ISMS（情報セキュリティ管理システム）が規定されている場合には、その内容を参照するなど、他の文書記述との重複や矛盾がないように心がける。指針に記述すべき項目とその概要を以下に示す。 ① 文書の目的規制対象業務に適用される IT インフラは適格性評価が必要とされることの説明と伴に、指針がその具体的アプローチについて示していることを記述する。 ② 適用範囲適格性評価の適用対象となる業務範囲および IT インフラの範囲を特定する。自社の IT インフラ設備であれば対象設備を特定し、クラウド利用であればサービスの利用形態を特定する。ネットワーク設備の例：  ネットワークコンポーネント機器類、ケーブル  ネットワーク機器関連オペレーティングシステム  通信・管理用アプリケーションソフトウエア ③ 適用法規及びガイドライン対象業務に適用される規制としての法規やガイドラインを特定する。 2/3 C-CAST CORPORATION ④ 用語の定義指針にて使用されるバリデーション用語、システム用語を定義する。特に「クオリフィケーション」「コンポーネント」「コンフィギュレーション」等は定義されないまま文書に用いる場合、内容を読み違えることもあり得る。 ⑤ 責任体制適格性評価の実施責任と保証責任を明記する。例えば実施責任は IT インフラを管轄する情報システム部門の長が担い、保証責任は品質保証部門が担当する。 ⑥ 活動 CSV 活動との関連において IT インフラ適格性評価のための活動の位置付けを説明し、その上で活動の実施項目を明確化する。CSV 活動と同様に新設における「予測的」な活動と、既設設備を対象とした「回顧的」活動が考えられるため、それぞれの活動を規定しておく。活動はその内容の概略説明と参照する手順書を規定しておく。活動全体の流れを図示することで全体が把握しやすいようにしておく。 3. おわりに共通基盤であるITインフラはGｘP対象業務とそれ以外の業務に跨って利用される場合がある。その場合においてもGｘP規制適用対象の業務が利用するITインフラを可能な限り特定することが取組みにおいて求められる。重要なことは規制環境におけるITインフラを管理し利用する場合、文書化された適切な基準に沿って実施することである。以上 3/3