このページでは、1997年にアメリカのFDA(食品医薬品局)が発行した「Part11(パートイレブン)」について、その内容や、データインテグリティの確保を考える上で重要になるポイントなどを詳しく解説しています。
Part11(パートイレブン)とは、1997年に米国FDAが発行したデータインテグリティの構成要素の1種です。
パートイレブンは主として、紙媒体の書類や手書きの記録などと、電子記録・電子署名を同等に取り扱う上で必要なルールがまとめられているものであり、データインテグリティを確保するためにはパートイレブンが定める規定をクリアしていなければなりません。
そのため、システムを導入する際に「パートイレブンへ対応しているか否か」という点は、データインテグリティの確保を考慮する際に重要なポイントとなります。
FDAとはアメリカの「食品医薬品局(Food and Drug Administration:FDA)」の略称であり、日本における厚生労働省のような役割を担っている政府機関です。
そして「21CFR」とは連邦規則集の第21編を示すカテゴリ表記であり、つまり「FDA 21CFR Part11」は「米国食品医薬品局連邦規則集第21編」の「第11部(パートイレブン)」を意味しています。
電子記録や電子署名といったシステムが一般的でなかった時代は、紙の書類や手書きの文書の方が信用に値すると考えられていることもありました。しかし、ソフトウェア技術の発展によって電子媒体や電子機器が普及したため、「一定の基準を満たしていれば電子記録・電子署名にも紙媒体と同等の信頼性を認める」というルールづくりが必要となったのです。
このような背景から、1997年8月(公示日:1997年3月20日)にアメリカで電子記録・電子署名に関する規則としてパートイレブンが施行されました。
いざ施行されたものの、パートイレブンは内容が難解な上、当時は完全にシステム対応させるハードルも高かったため、業界内で色々と不都合が生じていました。そこでFDAは改めて、パートイレブンの運用方法に関して5つのガイダンスを制定し、一般への理解を求めたのです。
その後、これらの5つのガイダンスは全て破棄されましたが、改めて2003年に発行されたガイダンス「Part 11, Electronic Records; Electronic Signatures - Scope and Application」において「パートイレブンは現在も有効である」と記されており、現在に至るまでパートイレブンへの対応が重要視されています。
パートイレブンは大きく3つの「Subpart(A・B・C)」に分類されており、それぞれが一般既定(A)、電子記録(B)、電子署名(C)に対応しています。
SubpartAはパートイレブンにおける序文であり、また一般的な既定をまとめた総則です。SubpartAにはパートイレブンの制定目的や各用語の定義が記述されており、例えば「一定基準を満たすことで電子記録・電子署名が紙の書類や手書きの記録・署名と同等の信頼性を持つ」といった、パートイレブンの基本理念がまとめられているのもSubpartAです。
その他にも、電子記録についての定義やデジタル署名(電子署名)の構成要素といった内容が指定されています。
SubpartBは主として電子記録に関連した基準や作成・管理ルールといった項目がまとめられています。
SubpartBの具体的な内容としては以下のような例が挙げられ、現在でもデータインテグリティの確保を考える上で大切なポイントになっていることが重要です。
SubpartCは特に電子署名に関する内容がまとめられています。一例としては以下のようなものが挙げられます。
パートイレブンのSubpartBにおいて、システムに関するバリデーションの実施が明記されています。
そもそもシステムの構成要素に不具合や脆弱性が認められている場合、データインテグリティを適正に確保することができません。そのため、必ずシステムのバリデーションを行って、対象のプログラムやデータが要求された仕様に従ってきちんと構成されているのか検証することが求められます。
データは適切かつ安全なシステムにおいて正しく保管されるだけでなく、必要に応じて閲覧したり複製したりすることもあります。その際、一部のデータが欠損したり、完全なコピーが作成できなかったりすれば、データの信頼性を検証することもできません。
また、電子記録として保存されている図表や画像などを紙へ印刷する場合も、解像度が下がらないようファイル調整されていることが必要です。
データは必要な期間、安全かつ完全な状態で保存されていなければなりません。保存期間中、悪意ある第三者などによって外部からデータを書き換えられたり、破壊されたりといったリスクに備えることも不可欠です。
なお、保存されているデータは適切な検索機能によって、必要に応じて速やかに検出できるよう設定されていることも大切です。
保管されているデータにアクセスできる人間は、その作業が許されている管理者や権限を有する人間のみでなければいけません。また、一時的に権限を認められているような場合、誰がどのような根拠や理由にもとづいて権限を認めたのか、一連の流れを客観的に証拠として保管しておくことも必要です。
当然ながら、誰でも気軽にデータへアクセスして改変できる環境は論外です。
監査証跡とは、データの作成や変更といった作業に関して、全ての履歴を時系列に従って保存しておく機能を指します。
データインテグリティの確保を考えるのであれば、誰かが何らかの理由で既存データを変更した場合、データを変更したという履歴だけでなく、「変更前のデータ」についても再確認できるよう保存されていることが必要です。
システムを導入する際は監査証跡の有無についてもチェックしましょう。
電子署名についてはパートイレブンのSubpartB及びCで詳しく定められています。
電子署名を行う場合、署名者の氏名や日時、署名理由などをまとめて記入しなければならず、署名前にはそもそも電子署名を行おうとしているユーザーの本人確認も必要です。
電子署名は各ユーザーに固有のものだからこそ価値をもつのであり、他者との共有や再割り当てといったことはNGです。
パートイレブンは1997年に誕生したルールですが、2022年の現在に至ってもデータインテグリティの確保を考える上で重要なポイントになっています。
そのため、医薬品製造業界向けのシステムやパッケージソフトウエアでもパートイレブンに則ったソリューションが提供されており、業務のシステム化や自動化、DX化を目指すのであればデータインテグリティへの対応と合わせて確認しておくことが重要です。