AWS(アマゾン・ウェブ・サービス)が提供するクラウドサービスで2025年10月20日 (日本時間)に大規模な障害が発生し、世界中のウェブ
サービスやアプリに影響が及びました。
クラウドサービスは、導入や運用がしやすく、災害対策上のメリットもあるため、利用している製薬会社も多いと思います。
しかし、近々改訂が予定されているEU GMPガイドラインAnnex11と、おそらくそれに追随して改訂されるであろうPIC/S GMPガイドライン
Annex11に対応するためには、十分注意が必要です。
というのも今回の改訂は、進化し続けるIT環境、クラウドサービスの利用の増加、GMP業務で使用されるコンピュータ化システムへの新技術
の導入に対応することが目的なので、クラウドサービスの利用を意識した新しい要件が多く追加されているためです。
ポイント1:契約
これまでも勿論サービスプロバイダとの契約は要件となっていましたが、改訂版Annex11ドラフトでは、より具体的な契約要件について言及して
います。
(青字:改訂案原文、赤字:注意が必要と思われる点)
改訂案7.5. 契約
規制対象ユーザが、サービスプロバイダまたは社内のIT部門の能力および/またはGMP業務で使用されるシステムの運用に依存している場合、
規制対象ユーザは、以下に示す、サービスプロバイダとの契約か、社内のIT部門との承認された手順を持つ必要がある:
i.提供される業務や文書について説明しているもの
ii.満たすべき会社の手順と規制要件を定めているもの
iii.定期的/臨時/インシデントの報告と監視 (SLA と KPI を含む)、回答時間、解決時間などについて合意したもの
iv.供給者監査の条件に合意したもの
v.要求された場合、規制上の査察中のサポートに合意したもの
vi.通常の運用、監査、規制上の査察中などに提起された問題の解決ついて合意したもの
vii.品質およびセキュリティ関連の問題を伝達するための要件とプロセスを定義したもの
viii.規制対象ユーザがシステムデータの制御を維持するための出口戦略を定義したもの
ix.新しいバージョンのシステムのリリース手順と、規制対象ユーザがリリース前にこれらをテストする可能性について合意したもの
ポイント2:運用
クラウドサービスで障害やセキュリティ上の問題が発生し、GMP業務に使用しているコンピュータ化システムが影響を受けた場合、
“インシデント”や“逸脱”として対処し、是正処置・予防処置(CAPA)が必要となります。また、運用中には、CAPAや機能向上等のために
サービスに変更が行われることがあると思いますが、このあたりついて、改訂版Annex11ドラフトでは、以下の詳細な管理を求めています。
(青字:改訂案原文、赤字:注意が必要と思われる点)
改訂案3.1. 医薬品品質システム
規制対象ユーザは、GMP業務で使用されるすべてのコンピュータ化システムとこれらに関与する人員を対象とする医薬品品質システム(PQS)
を実装する必要がある。この文書で必要なすべての活動を含める必要があり、さらに、次のことを確認する必要がある。
i. コンピュータ化システムのバリデーションまたは運用中に発生するすべての逸脱が記録され、根本原因と製品の品質、患者の安全性、または
データ・インテグリティへの影響を特定する目的で、重大な逸脱が調査されること。適切な是正および予防措置 (CAPA) を特定して実施し、
これらの有効性を検証する必要がある。
ii. コンピュータ化システムへの変更は、これらに限定されないが、その構成、ハードウェアおよびソフトウェアコンポーネント、プラットフォーム
およびオペレーティングシステムを含む。変更は、制御された方法で、定義された手順に従って行われること。製品の品質、患者の安全性、
またはデータ・インテグリティに影響を与える可能性のある重要な変更は、再クオリフィケーションとバリデーションの対象となる必要がある。
iii. 内部監査は、手順上の逸脱を検出し、製品の品質、患者の安全性、データ・インテグリティを確保するために計画、実施、報告、フォローアップ
されること。
iv. 定期的なマネジメントレビュでは、コンピュータ化システムとそれが使用されているプロセスに関連するパフォーマンス指標 (品質指標) を
カバーし、適切な措置が講じられるようにすること。
v. 上級管理職は、システムライフサイクル全体を通じて管理状態を効果的に監督し、適切なリソースを割り当て、データ・インテグリティ、
セキュリティ、逸脱のタイムリかつ効果的な処理を促進する文化を導入すること。
改訂案14.1. 定期的なレビュー
システムが最初にバリデートされ、運用された後、定期的なレビューを実施する必要がある。このレビューでは、システムが「意図された用途に
適合」し、「バリデートされた状態」のままであるかどうか、または変更を加えて再バリデーション(完全または部分的に)する必要があるかどうか
を検証する必要がある。レビューを文書化し、調査結果を分析して、製品の品質、患者の安全性、データ・インテグリティへの影響を特定し、再発
を防ぐ必要がある。
改訂案14.2. レビューの範囲
該当する場合、定期的なレビューには、これらに限定されないが、以下が含まれる:
前回のレビュー以降、以下に変更がされた場合:
i. システムのハードウェアおよびソフトウェアコンポーネント、構成、プラットフォーム、インフラストラクチャ、およびインターフェイス。
ii. 要件仕様、ユーザガイド、SOPなどのシステムドキュメント。
これには、システムの変更がシステム文書に完全に反映されていることの検証が含まれる。
iii. このシステムと他のシステムの複数の変更の複合的な影響を評価する必要がある。
文書化されていない(未承認の)変更は、構成の監査などによって効果的に特定する必要がある。
サポートプロセスのフォローアップ:
iv. 過去の定期的なレビュー、監査や査察、是正措置・予防措置からのアクション
v. 監査証跡のレビュー、アクセスのレビュー、およびリスクアセスメントからの管理とアクション。
vi. インシデント、問題と逸脱、セキュリティインシデント、および新しいセキュリティ脅威からのアクション。
vii. メンテナンス、校正、サポート契約、およびサービスレベルアグリーメント(SLA)。
viii. ベンダおよびサービスプロバイダとの契約および主要業績評価指標 (KPI)。
ix. バックアップ手順、復元テスト、および災害復旧計画の妥当性。
x. アーカイブの妥当性と適時性。
xi. データ・インテグリティの評価に基づく管理とアクション。
xii. 規制要件の変更
改訂案15.7. 災害復旧
災害復旧計画は、災害がデータセンター、サーバー、コンピュータ、インフラストラクチャ、またはデータに影響を与えている間や与えた後に、
実施され、テストされ、利用できるようにする必要がある。該当する場合、計画は、定義された目標復旧時間 (RTO) 内で運用の継続性を
確保する必要がある。
GxP要件に関するホワイトペーパーが提供されているクラウドサービスを使用していれば、ホワイトペーパー上で上記の規制要件や自社の
システム要件を満たしていることを確認しておく必要があります。
<参考>
AWS:2021年3月リリース
https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/GxP_Systems_on_AWS_J.pdf
Google Cloud:2023年1月リリース
https://services.google.com/fh/files/misc/googlecloud_gxp_whitepaper.pdf
Microsoft Azure:2020年6月リリース
https://azure.microsoft.com/mediahandler/files/resourcefiles/microsoft-azure-gxp-guidelines-april/Microsoft%20Azure%20GxP%20Guideline%20(FINAL)%20July%202020.pdf?msockid=2b1b7692df496a9d1e95621ede616b97
しかし、これらのホワイトペーパーは数年前にリリースされているため、改訂版Annex11の要件に完全に対応できているかというと微妙な
部分があります。対応が不足している部分は、サービスプロバイダに確認したり、自社で不足部分を埋める対応を行ったりすることが必要かと
思います。
また、使用しているクラウドサービスがGxP要件に対応するホワイトペーパーを提供していない場合は、頑張って、自社の状況と改訂版Annex11の
要件とのFit&Gapを確認し、契約の追加等の対応が必要となるでしょう。
**********************************************************************************
2025年11月25日(火) 12:30-16:30、情報機構社主催で、改訂予定EU GMPガイドラインAnnex11に関するセミナを開催します。
改訂内容や対応のための準備にご興味をお持ちの方は是非ご参加ください。
●セミナ名:
EU GMPにおけるコンピュータ化システムの改訂動向とその対応~Annex11等における新たな要求事項・変更点と実施すべき事柄など~
●日時:
2025年11月25日火曜日12:30-16:30
●会場:
[東京・大井町]きゅりあん5階第2講習室
http://www.johokiko.co.jp/access/kyurian/
●本講座ホームページアドレス:
https://johokiko.co.jp/seminar_medical/AA2511N5.php
お申込みの際、備考欄に 講師紹介割引希望の旨と「C-753」 の講師紹介専用番号を記載いただきますと、講師紹介割引が適用されます
ので、是非ご活用ください。
※割引額は通常受講料金(税別)より、
1名ご参加の場合 ¥10,000円引き
2名以上参加の場合
通常の同時申込割引から更に1名につき¥2,000円引きとなります。
**********************************************************************************