21 CFR Part 11準拠：実際に求められること

主なポイント

• 21 CFR Part 11への準拠は、システム自体の技術ではなく、システムを取り巻く管理体制（検証、アクセス制御、監査証跡など）によって確保されます。いかなる製品も「本質的に」準拠しているわけではありません。
• このルールは、紙媒体が存在しない場合であっても、記録上のすべての行為には、名前、タイムスタンプ、および理由が付随するという一つの考え方に集約される。
• パート11はHIPAAとは異なります。HIPAAは医療データのプライバシーとセキュリティを規定する一方、パート11はFDA規制対象の記録と署名の完全性と追跡可能性を規定します。企業はどちらか一方だけを満たしていても構いません。
• パート11は1997年から施行されており、製薬、バイオテクノロジー、医療機器、臨床関連組織にとって依然として重要な要件となっている。

​

21 CFR Part 11への準拠は、単一の技術の特性ではありません。それは、電子記録の信頼性を証明する一連の制御、すなわち、検証済みのシステム、アクセス制御、およびすべての操作を特定の人物、タイムスタンプ、および理由に結び付ける監査証跡によって実現されます。FDA （米国食品医薬品局）は、製品がPart 11に準拠していることを認証しません。システムを使用する組織は、そのシステムを取り巻く安全対策に責任を負います。そのため、2つの企業が同じソフトウェアを使用しても、準拠しているのはそのうちの1つだけとなるのです。

​

21 CFR Part 11とは何ですか？

21 CFR Part 11は、FDAが規制する製薬、バイオテクノロジー、医療機器、臨床研究などの業界における電子記録および電子署名の管理方法を規定するFDA規則です。電子記録とは、電子形式で作成、変更、維持、保管、取得、または送信されるあらゆるデータを指し、電子署名とは手書き署名の電子版です。その目的は単純明快で、電子記録と電子署名を紙とインクと同じくらい信頼性が高く、追跡可能なものにすることです。この規則は1997年3月20日に公表され、同年8月20日に発効しました。それから30年近く経った現在でも、依然として有効です。21 CFR Part 11の全文はeCFRで閲覧できます。

​

21 CFR Part 11への準拠には、具体的に何が求められるのでしょうか？

この規則には3つのサブパートがありますが、21 CFR Part 11の実務的な要件は、簡潔なチェックリストに集約されます。最も分かりやすい覚え方は、紙の記録がなくても、すべての操作には名前、タイムスタンプ、理由が付くということです。監査証跡とは、作成、編集、削除といった操作すべてについて、タイムスタンプとユーザー情報が記載された記録であり、これを可能にするものです。

​

​

21 CFR Part 11は誰に適用されますか？

パート 11 は、必要な記録を電子的に保管したり、手書きの署名の代わりに電子署名を使用したりする FDA 規制対象組織に適用されます。適用範囲は部門ではなく記録に従います。規制対象組織が FDA 規制対象の電子文書を作成、保存、または送信した瞬間に、それを処理するシステムが適用範囲に入ります。これには送信システムも含まれるため、セキュアなオンライン ファックス サービスなども含まれます。 Fax.Plus 規制対象文書を取り扱う場合、監査証跡とアクセス制御を備えた運用が必要となる。FDAは、その適用範囲と適用ガイダンスにおいて、この規則がどれほど広範囲に及ぶかを説明している。

​

21 CFR Part 11とHIPAAの違いは何ですか？

この2つはしばしば混同されますが、その違いは重要です。HIPAA （医療保険の携行性と説明責任に関する法律）は、保護対象医療情報（PHI）、つまり対象事業体が取り扱う個人識別可能な医療データのプライバシーとセキュリティを保護します。21 CFR Part 11は、FDAが規制する電子記録と署名の完全性と追跡可能性を保護します。HIPAAの一般的な手段の一つに、 Business提携契約（BAA）があります。これは、ベンダーがあなたに代わってPHIを取り扱うことを許可する契約です。これらは異なる問題を解決するものであり、システムは一方を満たさなくても他方を満たすことができます。

​

​

21 CFR Part 11への準拠方法

コンプライアンスとは、単に購入するラベルではなく、実証可能な一連の管理策として捉えるべきです。具体的には、ベンダーのドキュメント、アクセス制御と固有のユーザーアカウント、完全な監査証跡、固有かつ検証済みの電子署名、そして明確に定義された記録保持期間を備えた、検証済みのシステムが必要です。主張を立証できない場合は、誇張するのではなく、控えめに表現してください。規制当局は、主張内容ではなく、実証可能な内容を評価するからです。

​

よくある質問

​

21 CFR Part 11はいつ発効しましたか？

最終規則は1997年に公布され、同年8月20日に発効した。現在も有効であり、FDA（米国食品医薬品局）が規制する電子記録および電子署名に引き続き適用される。

​

21 CFR Part 11は誰に適用されますか？

これは、FDAの規制対象となる組織（製薬会社、バイオテクノロジー企業、医療機器メーカー、臨床業務会社など）で、必要な記録を電子的に作成、変更、維持、保管、検索、または送信する組織、あるいは手書きの署名の代わりに電子署名を使用する組織に適用されます。

​

21 CFR Part 11の目的は何ですか？

その目的は、電子記録と電子署名を紙と同等の信頼性を持つものにし、FDA（米国食品医薬品局）の規制対象となる記録が、正確性、帰属可能性、改ざん防止の点で信頼できるものとなるようにすることである。

​

開封した状態で「21 CFR Part 11に準拠」している製品はありますか？

いいえ。コンプライアンスは、製品単体ではなく、管理体制、システムの検証方法、運用方法によって決まります。ベンダーはパート11をサポートすることはできますが、コンプライアンスを証明する責任は使用組織にあります。

​

電子署名は21 CFR Part 11に準拠できますか？

電子署名は、各署名が個人固有のものであり、本人確認（多くの場合、2要素認証）が行われ、署名者の氏名、日付と時刻、および署名理由が記録されている場合に、パート11の要件を満たすことができます。特定のツールが要件を満たすかどうかは、そのツールの設定方法と検証方法によって異なります。

​

21 CFR Part 11 の下でクラウドソフトウェアを使用することはできますか？

はい。クラウドソフトウェアは、システムが検証され、アクセスが制御され、監査証跡が完全であり、ベンダーがお客様自身の検証作業を裏付ける文書を提供している場合に、パート11に基づいて使用できます。