ライフサイエンス分野の製造業者は、米国食品医薬品局(FDA)をはじめとする規制当局が定めた厳格なガイドラインを遵守することが求められています。何と言っても、医薬品や 医療機器は、最終消費者の健康と安全に直接的な影響を与えるからです。

ライフサイエンス業界を規制する包括的な規則体系の一環として、FDAは21 CFR Part 11を制定しました。この規制は、医療機器メーカーおよび製薬メーカーの両方に適用され、その主な目的は、電子記録および電子署名の取り扱いを規制することにあります。

この記事では、21 CFR Part 11に規定されている規制について解説するとともに、ライフサイエンス業界の製造企業がデジタルトランスフォーメーションを進める中で、コンプライアンス対応をいかに簡素化できるかについて検討します。

21 CFR Part 11とは何ですか?

21 CFR Part 11とは、米国食品医薬品局(FDA)が定める連邦規則集(Code of Federal Regulations)第21編第11部を指します。これらの規制は、電子記録(電子バッチ記録医療機器履歴記録を含む)および電子署名に焦点を当てており、これらの特定のコンプライアンス活動が、紙の文書への署名と同等の信頼性を確保できるための条件を定めています。

本規則集の第11部は、電子データおよび文書の完全性および機密性について製造業者に指針を示し、関係者が電子署名の承認および審査に異議を唱えることができない環境を整備するものである。

電子文書に加え、この規定は画像、音声ファイル、ソースコード、動画も対象としています。結局のところ、21 CFR Part 11により、ライフサイエンス業界の製造業者は、より複雑な紙文書の管理業務の大部分を回避することが可能になります。

特に、この規範の包括的な性質は、製造業者の品質管理システムに非常に適しています。これにより、製造工程から生じるすべての電子材料が、FDAが求める基準や規制を満たすことが保証されます。

現代の製造業においてコンプライアンスが重要な理由

規制対象業界の製造業者にとって、コンプライアンスは妥協の余地のないものであり、事業を継続するための基本です。FDAの期待に応えられない場合、その影響は警告書にとどまりません。生産停止、製品リコール、そして本来の業務からリソースを奪う、長期かつ多額の費用を要する是正措置を余儀なくされることにもなりかねません。

21 CFR Part 11では、電子記録および電子署名の管理方法が規定されています。自社のシステムがこの基準を満たしていない場合、そのシステムから生成されるデータは監査において信頼されません。GxPの原則に基づいて事業を行う企業にとって、このリスクだけでも業務が完全に停止してしまう可能性があります。

規制当局は、検証済みのシステム、アクセス制限、および改ざん不可能な監査証跡といった要件について、明確な姿勢を示してきました。ここ数年、FDAはソフトウェア主導の品質管理システムに一層の注目を向けており、パート11に関連する指摘が最も頻繁に見られます。ISPEのデータによると、検証の欠如や不備は、査察の際に指摘される主要な問題の一つとして常に挙げられています。

コンプライアンスは単なるチェック項目ではなく、業務の混乱を防ぐためのものです。適切に検証・維持管理されたシステムがあれば、記録の正確性、電子署名の法的有効性、そしていつでも、どの拠点での監査にも耐えうるデータの信頼性を確信することができます。

21 CFR 第11部の要件

ライフサイエンス分野の製造業者には、デジタル文書管理システムを導入する際に考慮すべき重要な品質管理事項について詳述した、FDAによる一連の要件が定められています。これには以下が含まれます:

要件 その真の意味 盛り込むべき内容や導入すべき事項
ソフトウェアの検証 GxPプロセスに関わるあらゆるデジタルシステムは、意図したとおりに一貫して機能しなければなりません。システムが正常に動作し、その状態を維持していることを示す、文書化された証拠が必要です。 システムの動作を文書化し、妥当性検証テストを実施し、その正確性、信頼性、および一貫性を示す結果を保存する。妥当性検証は、再現可能、検証可能、かつ追跡可能でなければならない。
アクセス制御 システムへのアクセスは、権限を持つ者のみに限定すべきです。役割、権限、および安全なログイン認証情報は不可欠です。 ロールベースのアクセス制御、一意のログイン認証情報、およびパスワードポリシーを採用してください。各ユーザーがシステム内で閲覧・実行できる内容を明確に定義してください。セッションのタイムアウト設定や変更ログも導入してください。
電子署名 デジタル署名は、1人の人物と1つの記録に一意に紐付けられていなければなりません。また、氏名、日付、および署名理由が含まれていなければなりません。 明確な目的欄とタイムスタンプを含む、認証済みの署名を必須とする。署名が再割り当てされたり複製されたりしないよう確保すること。
監査証跡 編集、承認、ログインの履歴を、日時を明記して完全に記録します。こっそりとした変更は一切ありません。 誰が変更を加えたか、何が変更されたか、いつ変更されたか、そしてその理由を自動的に追跡します。バージョン履歴は保存され、検索可能である必要があります。
記録の保存期間 記録は、必要な期間にわたって、安全かつ完全に保管してください。すべてのバージョンにアクセスできる状態にしておく必要があります。 文書の完全性を維持し、監査の際に以前のバージョンを容易に検索できるように、文書をアーカイブしてください。お住まいの地域および製品クラスに応じた保存期間のルールに従ってください。
データの完全性 データは、そのライフサイクル全体を通じて、完全かつ改ざんされず、追跡可能な状態で維持されなければならない。 不正な編集を防ぐための管理措置を講じる。最初の入力から最終的な承認済み記録に至るまでの追跡可能性を確保する。システムログには、データや構造への変更がすべて反映されるようにする。
検索と索引付け データは、特に監査の際には、アクセス、索引付け、および検索が容易でなければならない。 インデックス作成、アーカイブ、および検索可能な形式を活用し、データの検索を迅速かつ監査可能なものにする。記録が論理的に整理され、必要に応じてアクセスできるようにする。
業務管理 システムは、承認済みのワークフローを正しい順序でユーザーが実行できるよう誘導しなければならない。 システムのロジックやチェック機能を用いて、処理順序を確実に遵守させる(例:レビュー前に承認しない)。ドキュメントの流れは、フェーズゲート方式(作成 → レビュー → 承認)に従うべきである。
研修およびSOPの遵守 このシステムを利用する者は、研修を受け、その研修を受けたことを証明する書類を提示しなければなりません。 SOPを常に最新の状態に保つ。研修記録を管理し、ユーザーに重要なワークフローへのアクセス権を付与する前に、確認または認定を義務付ける。
デジタル文書管理 すべてのデジタル記録は、完全性、安全性、および追跡可能性に関する要件を満たさなければならず、単に紙の記録をデジタル化したものに留まってはならない。 文書管理システムが単なる「ガラス越しの紙」にとどまらないようにしましょう。適切な文書化を徹底し、編集履歴を追跡し、監査対応を確実にするインタラクティブなツールを活用してください。デジタル化は、管理体制を弱めるのではなく、強化するものでなければなりません。


https://tulip.widen.net/content/5oxfnnbnrz
インダストリー4.0とファーマ4.0の主な類似点と相違点

コンプライアンス手順のデジタル化に関するヒント

前述の要件を踏まえ、医療機器メーカーは、デジタル文書のセキュリティと完全性を維持するためのCFRパート11準拠チェックリストを作成することができます。しかし、特に企業が紙ベースからデジタル化へと移行する場合、これは困難を伴うことがあります。

こうしたメーカーがデジタルコンプライアンスに効果的に取り組むには、次のような方法があります:

  • デジタルコンプライアンスツールには、適切なユーザー認証、アクセス制御、およびシステム権限管理のためのセキュリティ機能が備わっている必要があります。簡単に言えば、このデジタルソリューションにより、製造業者が一意のユーザー名とパスワードを割り当てられるようにすべきです。これにより、文書の完全性とシステムのセキュリティが確保されます。

  • このデジタルソリューションには、権限のある担当者が電子署名を行える機能が備わっている必要があります。さらに、所有者がこの署名を認証することで、手書きの紙の署名と同様に法的拘束力を持つようにする必要があります。

  • 理想的なデジタルコンプライアンスソリューションは、体系的に整理された履歴データを提供し、システムの監査を容易にするものであるべきです。監査証跡には、文書、作成者、作成日、および修正内容に関する包括的な記録が記載されています。

Tulip 21 CFR Part 11への準拠をどのようにTulip

Tulip 、コンプライアンス管理を犠牲にすることなく、規制対象業務のデジタル化を必要とする製造業者向けにTulip 。このプラットフォームには、監査人が期待する機能が、すでにコアシステムに組み込まれています。

実際の運用に即したバリデーション文書
TulipCenterTulip、規制対象の生産環境向けに作成されたバリデーションパッケージ、テストスクリプト、変更管理記録をチームが利用できます。これらの資料は、GAMP 5およびリスクベースのアプローチの両方に準拠しています。そのまま使用することも、必要に応じて修正して使用することも可能であり、バリデーション計画をゼロから作成する必要はありません。

重要な情報を記録する監査証跡
Tulip 規制対象アプリはすべて、自動的に独自の監査証跡をTulip 。編集、承認、または承認のたびに、タイムスタンプとユーザー記録とともにログが記録されます。これはシステム自体が処理するため、エンジニアはすべてのワークフローに追跡機能を組み込む必要がありません。

コーディングなしで設定可能な機能
エンジニアや品質管理チーム、Tulip直接、権限の設定、アクセス管理、電子署名の要求を行うことができます。これらはすべて組み込みツールで実行可能であり、カスタム開発やITサポートへの依頼は不要です。これにより、更新作業が簡素化され、コンプライアンス上の些細な不備が生じるリスクを低減できます。

トレーサビリティを確保するために構築された電子記録
Tulip 各記録は、その記録を作成したワークフローとTulip 。バッチリリース、逸脱事項、検査など、あらゆる情報がバージョン管理され、不正な編集から保護された状態で安全に保管されます。

規制対象の業務向けに設計
Tulip バリデーションが必須となる医療機器、バイオテクノロジー、製薬の製造現場でTulip 。チームは、導入を迅速化し、各生産ラインや拠点間でコンプライアンスを統一するために、App にある「バリデーションテンプレート」を活用することがよくあります。

結論

規制対象業界の製造業者が、業務における従来の紙ベースのソリューションからの移行を進め続ける中、21 CFR Part 11などの規制当局が定める規則や規制に対応することが不可欠となっています。

当社は、数多くの製薬会社や医療機器メーカーと連携し、Tulip「Frontline Operations 」を活用してコンプライアンス手順のデジタル化を支援してきました。これにより、企業は重要な生産データを一貫性を持って安全に追跡・保存できるようになり、規制当局の精査にも耐えうるデジタル監査証跡を構築しています。

コンプライアンスをビジネスの重要な柱として維持しつつ、統合されたデジタルソリューションを活用して業務を改善する方法にご興味をお持ちの方は、ぜひ ぜひ当社のチームメンバーまでお問い合わせいただき、Tulip「Frontline Operations 」についてぜひ詳しくお聞きください!

よくある質問
  • 21 CFR Part 11は、製造業者に対して実際にどのような要件を課しているのでしょうか?

    結局のところ、管理と証明が鍵となります。電子記録や電子署名を使用する場合は、そのデータが完全であり、追跡可能で、かつ安全であることを示す必要があります。システムは検証され、アクセスは制限され、あらゆる変更について監査証跡が残されている必要があります。規制当局は、紙の記録と同様に、企業のデジタル記録も信頼できるという証拠を求めています。

  • 電子署名は、どのようにしてFDAの期待に応えることができるのでしょうか?

    各署名は、1人の個人を特定し、日付と時刻を含み、「承認者」や「確認者」といったその行為の理由を示すものでなければなりません。署名は当該記録に直接紐付けられていなければならず、他の誰かが再利用することはできません。これらの条件が満たされている場合、その署名は手書きの承認と同等の効力を持ちます。

  • 製造業者は、21 CFR Part 11の規定の下でクラウドソフトウェアを使用できるか?

    はい、システムが検証済みであり、必要な管理措置が講じられている限りは問題ありません。FDAは、クラウド型ソフトウェアとオンプレミス型ソフトウェアを区別して扱っていません。重要なのは、アクセス権限、監査証跡、およびデータ保護が、いずれも同等の基準を満たしていることです。

  • ソフトウェアのバリデーションを裏付ける文書にはどのようなものがありますか?

    ユーザー要件、バリデーション計画、リスク評価、およびテストプロトコル(通常はIQ、OQ、PQ)が必要となります。変更管理記録には、更新が経時的にどのように管理されているかが明記されている必要があります。これらの文書を総合することで、システムが貴社の特定のプロセスにおいて意図したとおりに機能していることが証明されます。

  • パート11のコンプライアンスにおいて、よくある不備にはどのようなものがありますか?

    企業では、システムの検証を見落としたり、監査証跡の維持を怠ったりすることがよくあります。署名に同じパスワードを再利用していることも、もう一つの危険信号です。一部の工場では、依然として変更履歴を手作業で追跡しており、その結果、記録の欠落や拠点間のコンプライアンスの不統一が生じています。

Tulip「Frontline Operations 」を活用してコンプライアンス対応を効率化

一連のアプリを活用することで、業務のデジタル化を推進し、デジタル監査証跡を構築して、コンプライアンス対応を簡素化する方法をご覧ください。

「ある1日」をテーマにしたCTAイラスト