GMPを勉強しよう-55−MHRAのドラフトDI-6(総括)
最後に、現行のガイダンスとドラフトガイダンスを比較してみます。
MHRAのガイダンス(2015年3月)のガイダンスに記載されている用語は、以下のとおりです。
項目の末尾に○をつけたものは、用語の定義があるものです。○のないものは、期待やガイダンスだけが書かれたものです。
Data○
Raw data○
Metadata○
Data Integrity○
Data governance○
Data Lifecycle○
Primary Record○
Original record/True Copy○
Computer system transactions○
Audit Trail○
Data Review
Computerised system user access/system administrator roles
Data retention
Archive○
Backup○
File structure
Flat files○
Relational database○
Validation for intended purpose
今回のドラフトで新たに追加された用語は、以下のとおりです。これらの用語は、定義はなく、期待やガイダンスが書かれています。
1.Data transfer/migration
2.Data Processing
3.Recording data
4.Excluding Data
5.Electronic signatures
6.Cloud providers and virtual service / platforms
1.データの転送/移行は、データインテグリティが維持さることをバリデートすること。
2.データの処理は、可視化できること。
3.電子システムの能力が、ダイナミックストレージ可能な場合、スタティックデータの記録には向いていないかもしれないこと。
4.データは、それが異常があったり、代表するものでない場合のみの除外可能であるが、オリジナルデータのセットとして保存すること。
5.電子署名を紙やPDFにする場合は、電子署名のメタデータを一緒に保存すること。
6.ここの記述はとても長く、かつ今後の対策として重要だと思います。大雑把に言うと、以下の様なことが書かれています。
使用する場合は、仕事の役割に必要な機能へのアクセスのみで、その活動は個人が特定できること。個人のアクセスレベルと履歴がわかること。OSとアプリの両方が管理されること。共通ログインや汎用ユーザーアクセスは禁止であること。
中には、単一ユーザーのログインしかできないシステムもあるので、同等の管理をするためにサードパーティのソフトを使ったり、紙ベースのトレーサビリティ((..)φ;監査証跡とは言っていない)を使ってもよいこと。しかし、これらの代替案は、正当化して記録しておくこと。ハイブリッドシステムの場合は、データのレビューが増えると思われること。
GMP施設では、2017年末までに、個人のログインと監査証跡を備えたシステムにアップグレードすることが期待されていること。((..)φ;これはイギリスでの話ですが、本当に、全ての会社ができるのかしら?どうなりますかね?)
システムアドミニストレータのアクセスは、可能な職員を最小限にすること。監査証跡へのアクセスは、個人に帰属するユニークな資格証明でログインすること。
データの削除、修正、構成の変更などのアドミニストレータの権限は、データを生成、レビュー、承認する人には割り当てないこと。会社構造上これができない場合は、2つの異なるアカウントを持つことでもよい。アドミニストレータが行ったことは全て、目に見える化して、品質システム内で承認すること。
個人は、与えられた仕事に適した権限でログインすること。例えば、データをレビューする試験責任者は、システム・アドミニストレータの権限でログインしてはいけない。