このページでは、データインテグリティの確保を考える上で重要となる監査証跡のレビューについて解説しています。監査証跡のレビューの実施頻度や種類、必要性などを詳しく把握して、適正なデータの管理体制を整えましょう。
監査証跡とはデータを記録する作業に関して、誰が、いつ、何を、どうして記録したのか、といったデータ管理の履歴について再構築したい場合に必要となるものです。
データインテグリティの確保を考える際、データに関するリスクは対象データの重要性や変更の可能性、不正操作を回避する仕組みの有無といった要素で決定されますが、監査証跡においてデータに関連する作業を保存することで不正リスクの発生を抑えることが可能となります。
加えて監査証跡を閲覧して実際のデータと比較し、その管理性の内容をチェックできることもポイントです。
監査証跡のレビューを実行する頻度は、対象データの内容や取り扱い状況によっても変動しますが、例えば最初に明確な予定などを考えておくことも1つの方法です。具体的には、数ヶ月ごとに定期的な監査証跡のレビュー作業を行い、さらに現場作業員については実施時期を知らせない抜き打ちのチェックを不定期に行うといった方法があります。
QCQAが実行する日常的な監査証跡のレビューとは、パッチごとに実行するレビューを指します。試験終了後にまとめるデータレビューに際して、試験機器やサーバデータなどに不正がないか確認したり、データの削除やコピーが行われていないかチェックしたりといった作業になるでしょう。
定期的レビューとは、試験部門が主導して適切な監査証跡のレビューが実行されているか、改めて第三者視点でチェックするためのレビューです。基本的に、データインテグリティの確保を目指すのであればダブルチェック体制が基本であり、客観的かつ公平な立場の人物によるレビューが求められます。
監査証跡機能に関する定期的レビューとは、日常的なレビューや定期的なレビューが試験内容や試験環境についてのチェックであったことに対して、それらのレビューを適正に行える状況にあるかどうかシステム面や管理体制面を確認するためのレビューです。特に管理者権限を持つ者は任意にデータへアクセスできることもありチェックが必要です。
監査証跡はデータインテグリティの確保を実行する上で不可欠のものとされていますが、監査証跡のレビューそのものは必ずしもデータインテグリティの確保において実行されなければならないとは限りません。ただし、監査証跡を行っても後から内容を確認できなければデータとしての再現性が判断できないため、基本的には査察官に向けて監査証跡の電子記録などを提供することが必要となります。
監査証跡のレビューを始めて要求したケースは、2011年1月改定の「Annex 11」であり、そこでは監査証跡は常に利用可能な状態にした上で、一般的に判読できる形式へ変換しなければならず、さらに定期的なレビューを実行しなければならないと定められています。
ただし、監査証跡のレビューに関しては懐古的な監査証跡のレビューは現実的でないとするISPEの見解や、監査証跡のレビューの必要性を論じた2010年1月発行の米国製薬会社向けWarning Letterなどもあり、その解釈は様々というのが実状でした。
その後、2015年3月にMHRAが「データインテグリティガイダンスのドラフト」を発行し、そこで改めて監査証跡のレビューが承認プロセスの一部になるべきと要求されています。