C-CAST CORPORATION 業界トピックス (Vol.7) 株式会社 シ-・キャスト 代表 荻原 健一 IT インフラの適格性への対応が必須へ! -EU GMP Annex11 Computerized System の新たな要件ー 1 概要 昨年(2011 年)1 月にファイナルが発行された EU GMP Annex11 Computerized System において は、その主文に「The application should be validated; IT infrastructure should be qualified. (アプリケーションはバリデーションされていなければならない、IT インフラストラクチャは適格 性が評価されていなければならない。 ) 」との記述が明記された。規制当局側からの要件として初め て IT インフラの重要性に言及しており注目に値する。コンピュータ化システムにおけるバリデー ション(CSV)はシステム毎に実施していくことになるが、今日ではこれらのシステムがネットワ ークを介して有機的に接続され、システム全体として機能しているケースが多くなっている。この ようなシステム構成をとっている場合では、もはやシステム単体としての CSV では不十分である。 これらを接続しているネットワークを中心とした IT インフラを保証できなければならず、単独の CSV だけでは意味はない。また、IT インフラの適格性を評価する活動は、単に規制適合上の理由か らだけではなく、企業活動における危機管理という観点でも重要な意味を持つ。 2 IT インフラと適格性評価のアプローチ ITインフラはビジネスアプリケーションを利用するための基盤であり、例としてネットワーク、 サーバ・クライアントハードウエア、OSのようなプラットフォームが挙げられる。これらの基盤 をシステムユーザが自社で保有し管理運用する企業もあれば、クラウドコンピューティングにみ られるようにアウトソーシングする企業も最近では増えている。クラウドコンピューティングは、 設備費用が軽減でき、資産の陳腐化が避けられるメリットがある反面、企業の重要な情報が直接 の管理下にないことがリスクとなる。 GxP規制対象業務に係るアプリケーションをクラウド環 境下で利用するような場合においても、規制適合の責任はあくまで規制対象企業側にあることは 言うまでもない。 IT インフラはコンピュータシステム全体における基盤部分にあたることから、その適格性評価の ための活動はコンピュータ化システムバリデーション(CSV)の取組みに包含される。IT インフラ を対象とした個別の活動は CSV における活動手順を踏襲しつつ特記的な内容を加味して実施する。 1/3 C-CAST CORPORATION 2.1 体制の確立 IT インフラの適格性評価に取組む体制としては、情報システム部門が中心となって関連部門と協 力するような形が一般的と考える。情報システム部門は必ずしも GxP 規制要件に詳しい部門ではな いため、必要な専門知識を持った他部門のメンバー(SME:特定分野の専門家)を体制に含めるこ とが必要となる。推奨されるメンバー構成を以下に示す。 トップマネージメント:全社的な活動として推進し、必要なリソースを確保する。 情報システム部門:技術的仕様に通じ、全社的に IT インフラを管理運用する。 システム利用部門:IT インフラ上でビジネスアプリケーションを利用する部門として要求 を提示する。 品質保証部門:GxP 規制要件、社内品質規定や指針に照らし合わせて活動の内容を確認・承 認する。 サプライヤ:具体的な作業の実施担当。クラウドコンピューティングにおいてはサービスプ ロバイダとして契約内容に応じたサービスを提供する。 コンサルタント:適格性評価のあるべき姿を提示する。企業で初めての取り組みには特に有 効であり、また社内にリソースが不足している場合にも有効である。 2.2 指針の確立 メンバーが最初に取り組むことは、IT インフラ適格性評価についての指針を確立することである。 既に企業内に CSV の指針文書やガイドラインがある場合はそれが基本となる。 同様に、情報セキュリティについても既に企業の ISMS(情報セキュリティ管理システム)が規定さ れている場合には、その内容を参照するなど、他の文書記述との重複や矛盾がないように心がける。 指針に記述すべき項目とその概要を以下に示す。 ① 文書の目的 規制対象業務に適用される IT インフラは適格性評価が必要とされることの説明と伴に、指針が その具体的アプローチについて示していることを記述する。 ② 適用範囲 適格性評価の適用対象となる業務範囲および IT インフラの範囲を特定する。自社の IT インフラ 設備であれば対象設備を特定し、クラウド利用であればサービスの利用形態を特定する。 ネットワーク設備の例: ネットワークコンポーネント機器類、ケーブル ネットワーク機器関連オペレーティングシステム 通信・管理用アプリケーションソフトウエア ③ 適用法規及びガイドライン 対象業務に適用される規制としての法規やガイドラインを特定する。 2/3 C-CAST CORPORATION ④ 用語の定義 指針にて使用されるバリデーション用語、システム用語を定義する。特に「クオリフィケーショ ン」 「コンポーネント」 「コンフィギュレーション」等は定義されないまま文書に用いる場合、内 容を読み違えることもあり得る。 ⑤ 責任体制 適格性評価の実施責任と保証責任を明記する。例えば実施責任は IT インフラを管轄する情報シ ステム部門の長が担い、保証責任は品質保証部門が担当する。 ⑥ 活動 CSV 活動との関連において IT インフラ適格性評価のための活動の位置付けを説明し、その上で 活動の実施項目を明確化する。CSV 活動と同様に新設における「予測的」な活動と、既設設備を 対象とした「回顧的」活動が考えられるため、それぞれの活動を規定しておく。活動はその内容 の概略説明と参照する手順書を規定しておく。活動全体の流れを図示することで全体が把握しや すいようにしておく。 3. おわりに 共通基盤であるITインフラはGxP対象業務とそれ以外の業務に跨って利用される場合がある。そ の場合においてもGxP規制適用対象の業務が利用するITインフラを可能な限り特定することが取 組みにおいて求められる。重要なことは規制環境におけるITインフラを管理し利用する場合、文書 化された適切な基準に沿って実施することである。 以上 3/3
© Copyright 2024 Paperzz