GMPを勉強しよう-86-MHRA データインテグリティのガイダンス 2018年(6.13)その2
6.13 Audit Trail(監査証跡)その2
リスクアセスメントで特定された監査証跡を有効にしてくださいと言っています。
(“..)φ;監査証跡機能をオンにするということですね。重要なのは、リスクアセスメントをして、監査証跡にリストする項目を特定する作業です。
ユーザーは監査証跡を修正(amend)したり無効にしてはいけません〔念押しです〕。システム管理者が監査証跡の修正や機能をオフにする場合、その記録を保持する必要があります。
監査証跡に保持されるデータの関連性は、頑健なデータのレビューや検証を可能にするために、組織で検討されるべきだと言っています〔担当者の一存ではなく。原文は” considered by the organisation”です。〕。監査証跡のレビューは、システム活動全てを含んで下さい。例えば、ユーザーのログオンやログアウト、キーストローク(keystrokes)などもです。〔何を打ったかということですね〕
監査証跡機能がない場合(例えば、レガシーシステムなど)、例えばSOPにプロセスを明確にしておくなど、代替の管理でもよいと言っています。もちろんSOPに書くだけではだめで、その代替管理が効果的であることを証明しなければなりません。
(“..)φ;「おっ、いいの。紙でも?」と思いますよね。代替できるというのは、良かったですね。その代替案には、どうも優先順位がありそうですね。
現在のところ、アドオンソフトウェアやそれに準拠したシステムがない場合、レガシーシステムを継続して使用することを、文書化した証拠で正当化してもよいと言っています。その文書化した証拠ですが、それは準拠したソリューションが引き続き求めていて、その間の一時的な緩和手段が継続使用をサポートするということです。
(“..)φ;現在ないからと言って、代替管理で監査証跡のない装置をず~っと使っていいわけじゃないですよと言っていますね。すこしハードルが高くなりました。
ルーチンなデータのレビュー(日常的に行う記録のレビュー)には、リスクアセスメントで決定した文書化された監査証跡のレビューを含めるべきであると言っています。
(“..)φ;即ち、バッチ記録や試験記録などのデータをレビューするときには、監査証跡のレビューをしなければならないということです。解釈としては定期的ではなく、データをレビューするときは毎回、監査証跡をレビューする必要があります。
監査証跡のレビューに関するシステム設計をする場合、GXP関連に限定してよいと言っています。監査証跡は、関連データのリストか「例外報告」プロセスとしてレビューしてもよいと言っています。〔監査証跡データのレビューか例外報告のチェックですね〕例外報告は、バリデートされた検索ツールで、予め定めた「異常」なデータや活動を特定し、記録するものです。これは、データをレビューする人にさらなる注意や調査を求めるためのものですと説明しています。
(“..)φ;異常が出た時に記録するシステムですね。
次に、レビューする人は監査証跡、生データ、メタデータをレビューするために、十分な知識とシステムへのアクセス権を持っているべきだと言っています。メタデータは、データガバナンスのところも参照するように言っています。
(“..)φ;レビュー者の知識は勿論ですね。よく文書に書かれているのは、「システムにアクセスできること」です。私たちは、当たり前のことと思っていますね。この文章を裏から読んでみましょう。いわゆる「GMP解釈の4つのルール」のひとつ「精読する」です。システム・アクセスとは、「記録をレビューするときはシステムにアクセスして、監査証跡をレビューしなさい」と言うことですね。
システムが機能を満たしていない場合、すなわち監査証跡や個人のユーザーカウントに関して私たちが必要としていることを満たしていない場合、それに対応するための実証されたプログラムが利用可能であることを述べています。これは、アドオンソフトウェアのインストールやシステムのアップデートのどちらかになります。
(“..)φ;「どちらでもよい」と言っていますが、紙については述べていませんね。またハードルが上がりました。
最後に重要な文章なので、原文で紹介します。” Where remediation has not been identified or subsequently implemented in a timely manner a deficiency may be cited.”「改善が特定されなかった場合、またはその後の欠陥の改善がタイムリーに実施されなかった場合、指摘されるかもしれない。」
(“..)φ;ということで、監査証跡と個人のログオンアカウント(アクセスID)は、「アドオンソフトウェア」か「システムアップグレード」またはそれに準拠するシステムによって改善する必要があります。最悪、紙で当座を凌ぐことができますが、それは他の手段がない場合で、かつ今後の改善計画を立てて、そのタイミングをウォッチしておかなければなりません。「他の手段がない場合」と書きましたが、「お金がない」とか「技術がない」というようなこちら側の立場ではなく、世間的に、技術的に、その手段がないという意味で、文中では”available”が使われています。