GMPを勉強しよう-90-MHRA データインテグリティのガイダンス 2018年(6.16)その1
6.16 Computerised system user access/system administrator roles(コンピュータシステムのユーザーアクセス/システム管理者の役割)
コンピュータシステムの使用は全て、アクセス管理されるべきであると言っています。このアクセス管理は、人員がその仕事に関する機能にのみアクセスしたことを保証するために、またその活動が特定の個人に帰属することを証明するために行います。
(“..)φ;即ち、システムのログオンは、その仕事で必要なものに制限することです。そして、その作業を行って生成したデータをその人に紐づけするためです。ALCOAの「A」データの帰属性を担保するためですね。
会社は個人のアクセスレベルを証明できなければなりません。そして、ユーザーアクセスレベルに関する履歴情報が保持(原文は”available”)できることを保証しなければなりません。システムがユーザーアクセスのデータを取得できない場合は、システム外でその記録を保持しなければならないと言っています。
(“..)φ;ということはですよ、紙に記録してもいいんでしょうか?と思いますよね。でも、ここには具体的なことは書かれていません。この文章が言いたいのは、ユーザーアクセスの情報は重要である。後で確認できなければならない。システムにユーザーアクセスを記録できない場合は、何らかの形で履歴がわかるようにしておきましょうということだと思います。データの帰属性は大切ですからね。このようなガイダンスを読んでいると、単純な装置のことをつい忘れがちです。例えば、単純な電子天びんです。スイッチをオンにするとログイン完了なので、このシステムの中にユーザーアクセスの情報、即ち誰がログインしたかを記録していませんよね。この場合、システム外に記録を保存しなさいというわけです。どうしますか?
オペレーティングシステムとアプリケーションレベルの両方に、アクセス管理を適用すべきだと言っています。しかし、データインテグリティを保証する適切な管理(アプリケーション外でのデータの変更、削除、作成は不可能)があれば、オペレーティングシステムでの個別のログインは不要だと言っています。これ重要ですね。この適切な管理とは、アプリケーション以外でデータの変更、削除、作成ができないように管理するということです。そうすれば、コンピュータ立ち上げの時にログインの管理はいらないと言っています。
(“..)φ;オペレーティングシステムは、一般的に「OS」と省略されて呼ばれています。コンピュータを動かす基本ソフトのことで、例えば”Windows”などです。コンピュータを立ち上げる時に”Windows”を使用して、あるソフトを立ち上げて試験や処理をしたとします。その試験や処理のファイルは、多分コンピュータの中に保持されているでしょう。このファイルを削除したいとします。”Windows”にログオンして、試験や処理のソフトにログインせずに、エクスプローラーから当該ファイルを削除できました。この場合は、”Windows”へのアクセス管理が必要です。いやいや、記録のファイルは試験や処理のアプリケーションソフトにログインしないとアクセスできません。その場合には、”Windows”へのアクセス管理は不要ということです。これは、試験システムだけではなく、工程装置にも適用されていることを忘れないようにしましょう。
<つづく>