GMPを勉強しよう-98-MHRA データインテグリティのガイダンス 2018年(6.20)
6.20 IT Suppliers and Service Providers (including Cloud providers and virtual service/platforms (also referred to as software as a service SaaS/platform as a service (PaaS) / infrastructure as a service (IaaS)). (IT供給業者とサービスプロバイダ)(クラウドのプロバイダとバーチャルサービス/プラットフォームを含む(SaaS/PaaS/IaaSを参照))
「クラウド」や「バーチャル」サービスを使用する場合、そのサービス、所有権、検索、データの保持とセキュリティについて理解する必要があります。
(“..)φ;ここもコンピュータの専門家の領域ですね。この頃、データを第三者のサービスを利用して管理するようになってきました。その時の注意なので、内容を十分理解しなければなりませんね。もしかしたら専門家のサポートが必要かもしれません。上記の文章は、理解には注意を払うようにと言っています。原文では、”attention should be paid to understanding”です。格別の注意を払って下さい。
データを保持する物理的なロケーションを検討してくださいと言っています。その際、地理的なロケーションに適用される法律の影響も考慮する必要があります。
委託者と受託者の責任は、技術合意書や契約書に定義しておきましょう。これは、データの所有者や各国の管轄当局の依頼で、タイムリーにデータにアクセスできることを保証するためです。このデータには、もちろんメタデータや監査証跡が含まれます。プロバイダとの契約では、データのアーカイブと継続的な可読性に関する責任を定義しておきましょう。
オリジナルのバリデートされた状態にソフトやシステムを復元するために、復元を可能にするバリデーションや変更管理情報も含めて、適切な取り決めをしておかなければなりません。
事業継続計画は契約に含め、それを試験する必要があります。サービスプロバイダーの監査は、リスクに基づいて必要性を判断して下さい。
(“..)φ;事業継続は、災害などが発生した時に、その事業の継続を図るためのアレンジメントです。災害復旧計画をイメージして下さい。
以上で、MHRAのガイダンス2018の解説を終了します。後は、チャプター7の用語集とチャプター8の参考文献です。これは、原文を見ていただいて、ここでの説明は割愛させていただきます。