監査証跡のレビューについて

監査証跡のレビューが、データインテグリティのガイダンスに要件として挙げられていますが、GCP領域においては、まだ具体的な要件については模索中のようです。

 

なぜ監査証跡のレビューが必要なのか

監査証跡は、記録に関連する事象(「誰が、何を、いつ、なぜ」アクションを行ったのかといった情報を含む)の履歴を再構築するために利用するものです。

データインテグリティを確保するうえで、データのリスクは、①データの重要度、②データが承認されずに削除、変更されたり、いいとこ取りされたりする可能性、③それらの操作・事象を検出できる仕組みの有無、の組み合わせによって決まります。そして、このリスクは、操作・事象を監査証跡に残し、それをタイムリにレビューすることで低減できます。

また、最近のFDAWarning Letterを見ていると、査察時に査察官が監査証跡を閲覧し、実際の記録との差異を指摘するという事例も多く見られますが、このような指摘を受ける前に、自ら監査証跡をレビューする仕組みを設けておくことが望ましいと言えます。

 

監査証跡のレビューの経緯

Part 11[1]などの電磁的記録・電子署名規制において監査証跡は、中心的な要件のひとつですが、監査証跡をレビューすることまでは求めていませんでした。もちろん、監査証跡を収集するからには、それを確認できなくてはならないわけで、Preamble[2]でも、Part 11.10(b)の解説で査察官向けに監査証跡を電子的に提供することが触れられています(Preamble70)。

初めて監査証跡のレビューを要求したのは、2011年1月に改訂された Annex 11[3]です。「9.Audit Trail」に「(前略)監査証跡は、いつでも利用できるようにし、一般的に判読可能な形式に変換できるようにし、かつ定期的に(regularly)レビューする必要がある。」と定めています。

GAMP5を発行しているISPEは、これに反発し、2011年5月に、以下のように回顧的な監査証跡のレビューは現実的ではないという論陣を張りました[4]

  • 記録の変更の適切さ(正しい操作者、変更値等)は、レビューよりもバリデーションやセキュリティ管理で実現するものである。
  • 電子的な監査証跡は、特定の捜査(不正・不審な操作など)にメリットはあるが、定期的にレビューしても問題が見つかるわけではなく、監査証跡にアクセスし、解釈することは簡単にはできない。
  • 統計的に有意なサンプル数をレビューすることは現実的ではない。
  • 行われた変更が正しいかどうかの判断は難しい。

しかしながら、既に2010年1月に発行された、米国製薬会社への Warning Letter  では、「装置の電子データファイルの生成・変更に関するセキュリティ方策の手順がない。さらにラボラトリデータのレビューでは、承認されていない変更が行われたことを判断するための、監査証跡や修正履歴のレビューが含まれていない」と指摘されていたことから、監査証跡レビューの必要性の解釈に混乱が見られました。筆者はセキュリティ対策が十分でないときは、監査証跡レビューで補う必要がある、と解釈していました。

そこに2015年3月MHRAからデータインテグリティガイダンスのドラフト[5]が発行され、「監査証跡のレビューは、日常的な(routine)データレビュー/承認プロセスの一部とすべきである」ことが明確に要求されました。

このような情勢のもと、ISPEも2015年4月に「記録の最終承認時に、内容をレビューすることに意味があるのであれば、記録に対する変更を評価すべきである。監査証跡を回顧的にレビューすることは、データインテグリティが疑わしいときの捜査に限定すべきである。」[6]という主旨の論文を出しました。

2016年に以降、立て続けにFDAPIC/SWHO等からデータインテグリティガイダンスが発行されましたが、いずれも監査証跡を日常的にレビューすることを求めており、業界としての good practiceとして確立されたといえます。ただし、GCP領域においては、まだどのような操作に対する監査証跡をレビューすべきかについては、統一された見解は出されていないようです。

 


― 参考文献 ―

[1] United States Code of Federal Regulations Title 21, Part 11 “Electronic Records; Electronic Signatures.” 1997【和訳】(A)

[2] U.S. FDA, 21 CFR Part 11 [Docket No. 92N-0251](Preamble), Federal Register Vol.62, No. 54, pp. 13430-13466, 1997【和訳】(A)

[3] Annex 11 Computerised Systems rev1, Volume 4, Good Manufacturing Practice Medicinal Products for Human and Veterinary Use, European Commission, 2011【和訳】(A)

[4] ISPE , GAMP CoP Annex 11 Interpretation, June 2011

[5] MHRA, GMP Data Integrity Definitions and Guidance for Industry, March 2015

[6] ISPE, A Risk-Based Approach to Audit Trails, Pharmaceutical Engineering, March/April 2015

【注】
(A) : アズビル株式会社様が翻訳したものです。
アズビル株式会社様には、本サイトで掲載することをご承諾いただいております。