オープン・システムとクローズド・システム

インターネットなしでは業務が進まなくなった昨今、オープン・システムとかクローズド・システムは死語になりつつあります。
Part 11 Q&A [1]では以下のように言っています。

III. Scope
(オープン・システムとクローズド・システム)の区別は、インターネットやWebベースシステムが広範に利用されている今となっては、ほとんど意味をなさない。電子システムへのアクセスはインターネット経由で許可するため、物理的にアクセス制限しても安全とはいえないかもしれない。従って、これらのようなシステムには、§11.10で示されるクローズド・システムの管理の他に、記録の真正性、インテグリティ及び機密性を確実にするために、文書の暗号化や適切な電子署名標準を採用する等の追加的なセキュリティ方策を講じることが賢明であろう。

 そうはいっても、いきなり追加的なセキュリティ方策と言われても困りますね。やはり基本を押さえることにしましょう。

まずは、オープン・システムとクローズド・システムの定義です。ER/ES指針[2]の定義を見てみましょう。

[クローズド・システム]
システム内の電磁的記録に責任を持つ者によって、システムへのアクセスが管理されているシステム。

[オープン・システム]
システム内の電磁的記録に責任を持つ者によって、システムへのアクセスが管理されていないシステム。

Part 11[3]でもほぼ同じような定義です。というか、ER/ES指針が同様な定義を採用したということです。

「責任を持つ者」とは法人と解釈できますから、自社でシステムへのアクセスを管理できるかどうかが問われています。

 

オープン・システムの追加対応

オープン・システムの場合には、ER/ES指針では「電磁的記録が作成されてから受け取られるまでの間の真正性、機密性を確保するために必要な手段を適切に実施すること」が求められます。Part 11の要件 Part 11.30もほぼ同様です。

Part 11が出始めた頃は、システムがオープン・システムかクローズド・システムか、が大きな関心ごとでした。それによって「必要な手段」である追加手段を実施しなければならないからです。

この追加手段の説明として、ER/ES指針Part 11も、さらにPart 11 Q&Aも「電磁的記録の暗号化やデジタル署名の技術の採用などが含まれる」としています。

「デジタル署名」という言葉から「オープン・システムでは電子署名をしなくてはならないのか?」という疑問が出るかもしれませんが、これらは例であり、デジタル署名を行うことが求められているわけではありません。(デジタル署名については1つめの記事「なぜユーザIDとパスワードを入れるだけで電子署名と見なされるか?」を参照ください)そして、ここではデジタル署名の送信したデータが正しく受信したことを保証する仕組みが重要です。

 

インターネットについて

インターネットは経路が保証されておらず、アクセスを管理できないため、もちろんオープン・システムです。では、この追加手段はどうすればよいのでしょうか?

結論から言うと、EDC管理シート[4]の「セキュリティを保持するための手段」冒頭に

端末・サーバ間通信の暗号化:
□ SSL(セキュア・ソケット・レイヤー)
□ VPN(仮想プライベートネットワーク )
□ その他(     )

とありますが、この「SSL」や「VPN」の技術を使うことで、暗号化も行われ、また送信したデータが正しく受信されたことも確実にできるため、オープン・システムにおける追加手段の要件が満たすことができます。

SSL(厳密にはTLSですが)対応した場合、URLは http://でなく https:// となります。従って、Webベースシステムを利用するときに、そのサイトがhttps:// で始まっていたらオープン・システムの要件が満たされていると考えてよいことになります。

 

追加要件対策後の呼び方

オープン・システムに対して追加要件を実施し、管理できるようになったシステムは、クローズド・システムと呼んでよいのでしょうか?それについての決まりはありません。「管理できるようになったのだからクローズド・システムだ」と言う人もいれば、「あくまでも追加要件を施したオープン・システムだ」と言う人もいます。ただ、そこはあまり頑張るところではないように思います。そもそもこの区分は追加対策の有無を決定するための判断基準として用いるためのものであり、システム管理台帳に、オープン・システム/クローズド・システムの区分欄と、その対応有無の欄を設けて管理すればよいだけです。


― 参考文献 ―

[1] U.S. FDA, Draft Guidance, “Use of Electronic Records and Electronic Signatures in Clinical Investigations Under 21 CFR Part 11 ? Questions and Answers”, 2017

[2]医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について, 平成17年4月1日, 薬食発第0401022号【英訳】(A)

[3]United States Code of Federal Regulations Title 21, Part 11 “Electronic Records; Electronic Signatures”, 1997【和訳】(A)

[4] EDC管理シート(治験依頼者/製造販売業者用), version.1.00, 独立行政法人医薬品医療機器総合機構

【注】
(A) : アズビル株式会社様が翻訳したものです。
アズビル株式会社様には、本サイトで掲載することをご承諾いただいております。