GMPを勉強しよう-92-MHRA データインテグリティのガイダンス 2018年(6.16)その3

6.16 Computerised system user access/system administrator roles(コンピュータシステムのユーザーアクセス/システム管理者の役割)その3

システム管理者のアクセスは、最小限の人数に制限する必要があります。この最小限は、組織のサイズと性質を考えて決められるので、マジックナンバーはありません。一般的なシステム管理者のアカウントは、日常使用では利用できません。システム管理者のアクセス権限所有者は、監査証跡で特定の個人に帰属されるアクションが許された固有の認証情報でログインする必要があります。これは、利害が衝突する可能性のあるユーザーにアクセス権を与えないためで、それによって人物を追跡できない未許可の変更を防ぐためです。

(“..)φ;ここは解釈が難しいところですね。監査証跡で個人が特定できるアクションに対する固有のアクセス権限を使用しなさいと言っています。キーは、監査証跡で個人が特定できるということです。もし、監査証跡にリストされていないアクションだとか、そのアクションをする時に監査証跡の機能をオフにできるようなアクセス権限は使えないということです。

データの削除、データベースの修正、システム構成の変更などの活動を許可できるようなシステム管理者の権限は、そのデータと直接利害を有する個人に割り当ててはいけません。例えば、データの生成、データのレビュー、承認などがそれに当たります。

(“..)φ;一般的にシステム管理者は、当該部門以外の人、例えばIT部門の人が良いとされています。組織があまりにも小さい場合、そのような部門がなく、止むを得ず利害が一致する部門内の人に与えることは否定していません。しかし、データの生成やレビューや承認をする人に与えてはいけないと言っています。

臨床試験データの状態に応じて、個人のアクセス権限の変更を要求できると言っています。たとえば、一旦データ管理プロセスが完了すると、編集アクセス権限が削除されることでデータが「ロック」されます。これはシステム内で、証明可能でなければなりません。