Home Blog EU GMP Annex 11改訂への考慮点－新しいコンピュータ化システムバリデーションアプローチ－

EU GMP Annex 11改訂への考慮点－新しいコンピュータ化システムバリデーションアプローチ－

by @PQE Group

CSV & データインテグリティ

はじめに

EU GMP Annex 11は、医薬品のGMPに関するガイドラインである。現在のバージョンは2011年に承認されたが、まだ、カバーされていないより関連性の高い分野の詳細な原則を追加するために改訂される予定である。それは、単にコンピュータ化システムの使用が増えただけでなく、新しいテクノロジー（GxPソフトウェア内の人工知能(AI)や機械学習アルゴリズム(ML)など）の利用も重要な進歩を遂げていることにある。Annex 11の改訂に関するコンセプト・ペーパーの草案は、すでに2022年12月に発表されている。

コンピュータ化システムバリデーションは、製薬業界にとって不可欠なものである。それは、製品の安全性、有効性、および要求される品質基準を満たすことを保証するものである。

リスクベースアプローチバリデーションで一般的に定義される規制要件は、21 CFR Part 11 & EU cGMP Annex 11規則で規定される条項であるため、Annex 11の次期バージョンは、バリデーション戦略、関連成果物、および試験の受け入れ基準に影響を及ぼすことが予想される。

本記事の目的は、Annex 11の見直しにより導入された改善点（医薬品GMPガイドラインのAnnex 11- コンピュータ化システム - の改訂に関するコンセプトペーパー参照）と、以下のトピックのシステム適合性を保証するためのリスクベースアプローチバリデーションに関連する可能性のある影響について説明することである：

ユーザー要求仕様書（Annex 11、4.4項）
正確性チェック（Annex 11、6項）
監査証跡（Annex 11、 9項）
データセキュリティ（Annex 11、12項）

Computerised System Validation Approach_Site Banner

ユーザー要求仕様書

新バージョンでは、URS文書（又は同等の文書）に記載するシステムの要求機能（リスクアセスメント及びGxPへの影響に基づく）がより明確に記述される：要求事項には、GMPクリティカルな機能を含め、システムがサポートするビジネス及び／又は生産プロセスを詳細に記述し、反映すべきである。ユーザー要求仕様書は、システムのライフサイクルを通じてトレーサビリティを確保するだけでなく、（変更管理及び影響評価などを通して）システムの変更があった場合にも維持又は更新されなければならない。

さらに、ユーザー要求、機能仕様、テスト活動の間のトレーサビリティは、文書化され、更新され続けるべきである。

ユーザー要求仕様書に関する前述の更新は、以下のバリデーション成果物に影響を与える可能性がある：

ユーザー要求仕様書（例えば、Annex 11 の 4.4項に関連するような完全性要件の更新）。

システムリスク評価（影響を受けるユーザー要求事項に関連する新しいリスクシナリオ／潜在的な不具合の追加など）。

トレーサビリティマトリックス（ユーザー要求仕様と機能仕様、コンフィグレーション仕様、設計仕様との間のトレーサビリティの追加など）。

正確性チェック

正確性チェックは、GMPプロセス（例：機材、メソッド又はレシピパラメータ）にとってクリティカルであると考えられるマニュアルでの入力データに対して、第二のオペレーター／監督者又はバリデートされた機器／システムによって実施される追加的な（手動及び／又は自動）検証からなる。次のバージョンでは、データやシステムの重要性をより適切に分類するための有用なガイドラインが含まれる予定である。

前述の正確性チェックに関する更新箇所は、以下のバリデーション成果物に影響する可能性がある：

ユーザー要求仕様書（例えば、Annex 11、 6項に関連するような完全性要件の更新）。

システムリスク評価（例えば影響を受けるユーザー要件に関連する新たなリスクシナリオ／潜在的不具合の追加）。

IQ/OQ テストスクリプト（正確性チェック検証の更新、リスクアセスメントに基づくシステムデータ／パラメータのクリティカリティ評価の追加など）。

監査証跡

レビュー版では、システムの監査証跡が何をトレースし、どのようにレビューするかをより適切に説明する。さらに、監査証跡は常に有効かつロックされるべきであり、機能を無効化したり、関連情報を削除または変更（履歴なしに）できないようになっているべきである。無効化及び／又は編集オプションが利用可能な場合、（GMPプロセスに関与していない）システム管理者のみがアクセス可能であるべきである。監査証跡のレビュー頻度に関する新たな詳細ガイドラインは、以下の原則に従って追加される：システムの重要性が高いほど、監査証跡のレビュー頻度は高くなるはずである。

監査証跡に関する前述の更新は、以下のバリデーション成果物に影響を与える可能性がある：

ユーザ要求仕様書（例えば、Annex 11、9項に関連するようなトレーサビリティ要求事項の更新）。

システムリスク評価（例えば、影響を受けるユーザー要件に関連する新たなリスクシナリオ／潜在的な不具合の追加）。

IQ/OQテストスクリプト（例えば、電子記録、ユーザーアカウント、グループ及び／又は権限の作成／変更に関連するすべてのテストステップの監査証跡機能及びトレーサビリティ検証の追加チェックの追加など）。

データ・セキュリティ

改訂版では、許可されたユーザーのみにシステムへのアクセスを保証するために、実装すべきセキュリティ（物理的および論理的）管理（多要素認証、プラットフォーム管理などの追加セキュリティ対策など）について、より詳細に説明する。特に、「パスカード」のみの使用は、紛失や異なるユーザーによる共有の可能性があるため、認められない。このような場合、システムの重要性に応じて、多要素認証の使用を推奨する。

システム・ユーザー・グループおよび関連する特権を設計・設定する際には、「職務分掌」および「最小特権」の原則を考慮すべきである。さらに、アクセス権限の作成、変更、取り消しは、（アクセスログなどに）記録されるだけでなく、社内で役割を引き受けたり変更したり、あるいは仕事を辞めたりする可能性があることを考慮し、頻繁にレビュされるべきである。

データセキュリティに関する前述の更新は、以下のバリデーション成果物に影響する可能性がある：

コンフィグレーション・設計仕様書（または同等の文書）（例えば、パスワードの複雑さや履歴、多要素認証機能などの新しいセキュリティパラメータの追加）。

ユーザ要求仕様書（例えば、Annex 11 の 12.1 項及び 12.3 項に関連するようなセキュリティ要求事項の更新）。

システムリスク評価（例えば、影響を受けるユーザ要件に関連する新たなリスクシナリオ／潜在的な不具合の追加）。

IQ/OQ テストスクリプト（パスワード設定の変更に関するトレーサビリティ検証を含む、パスワードポリシー、ユーザープロファイル及び権限、アクセス制御検証の更新など）。

まとめ

前回、コンピュータ化システムのバリデーションに関する新しいガイドラインを含めるためAnnex 11が改訂された際、バリデーションのアプローチと関連する成果物に大きな影響があった。

Annex 11の改訂は極めて重要であり、現行の適用規則をより明確にするために、規制対象企業やサプライヤーから寄せられた多くのフィードバックを実施することになる。このガイドラインは、バリデーションの観点から、品質、セキュリティ、完全性、トレーサビリティ、アカウンタビリティの要求事項に対するシステムの適合性を確保するために使用される、より多くの「ツール」と推奨事項を導入することが期待される。最後に、Annex 11が更新されてから（比較的）長い年月が経過していることを考慮すると、新ガイドラインの中で提供される改善や詳細によっては、システムバリデーションのアプローチや関連する成果物への影響が重要になることが予想される。