GMPを勉強しよう-91-MHRA データインテグリティのガイダンス 2018年(6.16)その2
6.16 Computerised system user access/system administrator roles(コンピュータシステムのユーザーアクセス/システム管理者の役割)その2
次のパラグラフで、「GXPデータを生成、修正、保存するシステムでは、ログインや一般ユーザーのアクセスを共有してはいけない」と言っています。〔データの帰属性が担保されないからですね。〕コンピュータシステムが、個人のユーザーアクセスをサポートしている場合、この機能を使用しなければなりません。これは、もしかしたら追加のライセンスの購入が必要かもしれないと言っています。
(“..)φ;” Where the computerised system design supports individual user access,
this function must be used.”「システムが個人のユーザーアクセスをサポートしている場合、その機能を使いなさい」と言っていますね。包装ラインなどでは、未だにログインパスワードが一つしか登録できずに、止むを得ずアクセスを共有している例が見られます。これは、システムがその機能を持っていないからですね。しかし、ここの文章は注意して読まなければなりません。次に続く文章は、” This may require the purchase of additional licences.”です。即ち、「システムにその機能がなければ、その機能を追加で購入する必要がある」と言っています。これは、個人別にユーザーアクセス権を設定する機能がなければ、追加ライセンスを購入しなさいということです。そのようなライセンスが存在しない場合は、同等の代替手段を利用してもよいと言っていましたので、”may”で表現しているのだと思います。これは次のパラグラフで述べています。
MRPシステムなど、全てがGXPの目的で使用されているわけではないシステムでも、必要な要素を備えているものがあります。例えば、GXPで評価と管理が必要な承認済みサプライヤー、在庫の状況、配置、取引履歴などです。
(“..)φ;GXP用の装置じゃなくても、その機能が利用できるものもありますよということですね。
コンピュータシステムの中には、ユーザログインが一つしかなかったり、数が限定されているものがあります。適切な代替コンピュータシステムが利用できない場合、サードパーティのソフトや紙ベースによって同等の管理をしてもよいと言っています。代替システムは、その適切性を正当化して、文書化しなければなりません。ハイブリッドシステムは、帰属性のないデータの変更に対して脆弱な部分があるため、データのレビューが増える可能性があります。最後に、会社は規制当局の期待に適合するシステムを導入すべきであると結んでいます。
(“..)φ;例えば、紙と電子のバイブリッドで記録を残すということは、システムに個人のログインの識別がなく、製造記録や試験記録またはログブックに手書きされた記録が頼りになってしまいます。すると、「紙の記録は本当に正しいのか?途中で誰かが変ってデータを変更していないか?」など、余分の疑問が生じます。ですから、紙への記入をダブルチェックしたり、この装置の操作を途中で他の人に替わっていないかなどの確認をしたり…とレビューが増えるということだと思います。ドラフトでは、(GMP施設に対して)2017年末までに個人のログインと監査証跡を備えたシステムにアップグレードすることが期待されていました。ファイナルでは、管轄当局の期待に沿うシステムにして下さいと言っています。
<つづく>