Computer System Assurance (CSA): Evolution of Software Validation in the Pharmaceutical and Medical Device Industries

Introduction to CSA

Computer System Assurance (CSA) is the U.S. Food and Drug Administration’s (FDA) modernized approach to quality assurance for non-product software. While CSA does not replace Computer System Validation (CSV), it represents a significant evolution and clarification of the risk-based validation methodology. On September 24, 2025, the FDA issued the final guidance titled “Computer Software Assurance for Production and Quality System Software,” which supersedes Section 6 (“Validation of Automated Process Equipment and Quality System Software”) of the FDA’s 2002 “General Principles of Software Validation” guidance. This final guidance followed a draft version published in September 2022.

Note: Product software refers to software embedded in medical devices, while non-product software refers to software used in manufacturing processes and quality systems.

Historical Context: Risk-Based Approaches

CSA is not fundamentally a new concept. Since the FDA proposed a risk-based approach in August 2002 through the “Pharmaceutical CGMPs for the 21st Century: A Risk-Based Approach” initiative, regulatory authorities have consistently emphasized that quality assurance efforts and costs must be commensurate with risk. Subsequently, many regulatory requirements have adopted risk-based approaches. This principle has been equally applicable to CSV. The International Society for Pharmaceutical Engineering (ISPE) published GAMP 5 in 2008, which incorporated risk-based approaches. In July 2022, GAMP 5 Second Edition was released, placing even greater emphasis on critical thinking and modernizing validation practices to align with contemporary software development methodologies including agile and cloud-based systems.

FDA’s Perspective on CSA and GAMP 5

During a webinar hosted by USDM Life Sciences, Francisco Vicenty, Program Manager for the Case for Quality at the FDA’s Center for Devices and Radiological Health (CDRH), was asked: “What does CSA mean for GAMP? Will GAMP be obsolete?” He responded:

“The upcoming CSA guidance will not itself create new concepts. It aims to simplify and clarify the use of non-product software, maximize testing efforts, and minimize documentation for lower-risk non-product software systems. There is no inconsistency with GAMP 5. CSA is what the FDA has always intended but lacked clarity. Due to misunderstandings, there has been excessive documentation for documentation’s sake rather than quality improvement.”

In essence, Francisco Vicenty confirmed that GAMP 5 already incorporates CSA concepts and there is no need for revision to align with the FDA’s CSA approach.

Critical Thinking: The Core of CSA

If there is a defining element that distinguishes CSA, it is the emphasis on critical thinking. While the term “critical thinking” in Japanese is often translated as “批判的思考” (hihan-teki shikou), it does not mean blindly negating everything. Rather, it means questioning established assumptions and preconceived notions. Critical thinking was introduced and emphasized in GAMP Good Practice Guides and was prominently featured in GAMP 5 Second Edition (2022), focusing on considerations often overlooked in traditional CSV practices.

Regarding CSV, the following assumptions are commonly held:

• CSV must be performed to avoid regulatory citations
• CSV requires creating as much documentation as possible
• All systems that store GxP records must undergo CSV
• CAD software and compilers must undergo CSV
• Passing FDA inspections through CSV is the ultimate goal
• CSV requires comprehensive testing of all functions
• Test records (evidence) must be documented in exhaustive detail
• Systems without audit trail functionality cannot handle GxP data
• Cloud storage cannot be used without implementing CSV
• Cloud storage cannot store GxP data without audit trail functionality
• CSV deliverable approvals must be handwritten signatures
• Original signed documents must be presented to inspectors

Critical thinking requires questioning whether these assumptions are truly valid. Traditional CSV documentation has often been created for regulatory inspection preparedness rather than patient safety. This approach is fundamentally misguided. Organizations must fundamentally reconsider why CSV is performed and whether it truly contributes to patient safety and product quality assurance.

FDA’s Definition of Critical Thinking

When Francisco Vicenty was asked, “How does the FDA define critical thinking?” during the Q&A session, he provided the following response:

“As the manufacturer—the company and personnel who manufacture the product—you know your business and processes. You have the best insight into how risks arise, where they are critical, and what is happening from a process perspective. Critical thinking involves examining where the system may pose risks and what the risks to the product or process are. This helps you tell your story, whether to the FDA or any regulatory authority or inspector. It demonstrates that you can articulate that story, that you understand and have control over the elements of your product and process. There is no one-size-fits-all approach for any company or system. The FDA wants to know that you truly understand your processes and systems and that you are in control. Ensure you can communicate to the FDA that you know where the risks lie.”

In other words, the FDA expects that personnel at the inspected company, who have a better understanding of products and processes than FDA inspectors, should explain how they are implementing appropriate risk-based quality assurance activities. FDA inspectors will be trained to listen to company explanations and assess their validity.

Contemporary Regulatory Context

The CSA guidance represents part of a broader FDA modernization effort. The Quality Management System Regulation (QMSR), which harmonizes 21 CFR Part 820 with ISO 13485:2016, takes effect on February 2, 2026. Together, these changes signal the FDA’s commitment to international standards alignment, risk-based approaches, and recognition that modern software development practices—including cloud deployment, Software as a Service (SaaS), and continuous updates—require flexible validation frameworks.

The CSA approach explicitly supports:

• Leveraging vendor documentation and testing evidence
• Using unscripted and exploratory testing methods for lower-risk software
• Relying on system-generated evidence (audit trails, logs) rather than screenshots
• Implementing continuous monitoring and automated regression testing
• Scaling validation rigor based on actual patient safety and product quality risks

Global Harmonization Efforts

CSA aligns with international quality management standards and regulatory harmonization initiatives. The incorporation of ISO 13485:2016 into the QMSR and the ongoing implementation of ICH Q12 (Technical and Regulatory Considerations for Pharmaceutical Product Lifecycle Management) reflect a global movement toward science-based, risk-driven regulatory frameworks. ICH Q12, adopted in November 2019, provides tools for managing post-approval chemistry, manufacturing, and controls (CMC) changes through established conditions, post-approval change management protocols, and pharmaceutical quality systems.

Although implementation of ICH Q12 varies across regions, with only a few countries having completed full implementation, the principle of risk-based lifecycle management is now widely recognized. This harmonization allows manufacturers to implement innovative technologies and process improvements more efficiently while maintaining robust quality assurance.

Practical Implementation

The CSA guidance provides a structured five-step approach:

1. Define Intended Use: Document how software will be used within production or quality processes
2. Identify Risk: Assess the risk associated with the software’s intended use
3. Determine Assurance Activities: Select appropriate assurance methods based on risk
4. Conduct Assurance Activities: Execute testing, verification, and documentation activities
5. Establish and Maintain Records: Create appropriate objective evidence

This approach enables organizations to allocate resources effectively, focusing rigorous validation efforts on high-risk systems while streamlining activities for lower-risk applications. Importantly, this does not reduce the responsibility for quality—it redirects effort toward meaningful risk mitigation rather than documentation for its own sake.

Conclusion

CSA represents the formalization and clarification of risk-based principles that regulatory authorities have advocated for over two decades. It does not introduce entirely new requirements but rather provides explicit guidance on implementing validation practices that are truly aligned with patient safety and product quality objectives. Organizations that embrace critical thinking, leverage their deep understanding of their own processes, and implement risk-proportionate validation strategies will benefit from reduced documentation burden while maintaining—or even enhancing—product quality and regulatory compliance.

The convergence of CSA guidance, QMSR implementation, GAMP 5 Second Edition principles, and global harmonization initiatives such as ICH Q12 represents a significant opportunity for the pharmaceutical and medical device industries to modernize their quality systems, adopt innovative technologies, and ultimately better serve patients through improved product quality and availability.

 

---

CSA（Computer System Assurance）は、CSVに置き換わるFDAの非製品ソフトウェアの品質保証に関する概念である。（注）
しかしながら、CSAはけっして新しい概念ではない。
FDAが2002年にリスクベースドアプローチを提唱して以降、規制当局は品質保証に関わる労力（コスト）は、リスクに相応したものでなければならないことは繰り返し述べてきており、また多くの規制要件がリスクベースドアプローチを採ることになった。
CSVにおいても同様で、2008年に発行されたGAMP 5においてもリスクベースドアプローチを採用している。
FDAのFrancisco Vicentyは、USDM Life Sciencesで行ったWebinerにおける質疑応答で「CSAはGAMPにとって何を意味するか？GAMPは廃止されるか？」と問われ下記のように回答している。

「近く発出されるCSAガイダンスは、それ自体が新しい概念を生み出すことはない。非製品ソフトウェアの使用を簡素化および明確化し、テスト作業を最大化すると同時に、リスクの低い非製品ソフトウェアシステムの文書化を最小化することを目的としている。GAMP 5との不整合はない。
CSAはFDAがずっと意図していたものだが、明確性に欠けていた。また、誤解により、品質が向上するのではなく、文書化のための文書化が多すぎた。」
つまり、GAMP 5はすでにCSAの概念を盛り込んでおり、あえて改定の必要はないということを表明した訳である。

クリティカルシンキング
あえてCSAにおいて新しい概念といえば、クリティカルシンキングであろう。
クリティカルシンキングは日本語では「批判的思考」と訳されるが、けっして何でもかんでも否定することを意味しない。
これまでの既成概念（思い込み）や前提条件を疑ってかかるということである。
おそらくCSVに関しては、下記のような思い込みがあると思われる。

• CSVを実施しなければ規制当局に指摘される。
• CSVでは出来る限り多くの文書を作成しなければならない。
• あらゆるGxP記録を保存するシステムはCSVを実施しなければならない。
• CAD、コンパイラなどもCSVを実施しなければならない。
• CSVを実施し、規制当局の査察に合格すればそれで良い。
• CSVでは網羅的に全機能のテストを実施しなければならない。
• テストの記録（エビデンス）は詳細に残しておかなければならない。
• 監査証跡機能のないシステムでは、GxPデータを扱ってはならない。
• クラウドストレージはCSVを実施しなければ使用してはならない。
• クラウドストレージは監査証跡機能がないので、GxPデータを保存してはならない。
• CSV成果物の承認は手書き署名でなければならない。
• 査察官へは署名した原本を提示しなければならない。

クリティカルシンキングでは、上記に対して本当にそうであるかを問いただす必要がある。
これまでのCSVにおける文書化は、患者のためではなく、規制当局の査察対応のために作成されてきた。
これはナンセンスである。
なぜCSVを実施するのか、果たして患者の安全性に寄与するのか、製品の品質を担保できるのかを根本的に考え直さなければならない。
一方で、上述の質疑応答でFrancisco Vicentyは「FDAはクリティカルシンキングをどのように定義しているか？」と問われ、下記のように回答している。
「製造業者、つまり製品を製造する企業および要員として、あなたはビジネスとプロセスを知っている。
リスクがどのように発生し、どこで重要であり、プロセスの観点から何が起こっているのかについて、最良の洞察を得ることができる。
クリティカルシンキングとは、システムがどこにリスクをもたらす可能性があるのか、製品またはプロセスのリスクとは何かを検討することである。
これは、FDAであろうと、任意の規制当局や査察官であろうと、あなたのストーリーを伝えるのに役立つ。
あなたがその話をすることができること、あなたがあなたの製品とあなたのプロセスについて理解し、制御する要素を持っていることを示すこと。
どの企業やシステムにも万能なものはない。
FDAは、あなたがあなたのプロセスとシステムを本当に理解していること、そしてあなたが管理していることを知りたがっている。
リスクがどこに潜んでいるのかを知っていることをFDAに伝えることができることを確認すること。」
つまり、FDAの査察官よりも、査察を受ける企業の担当者の方が製品やプロセスについて良く理解しており、またそれらのリスクを良く知っているはずだから、適切にリスクにふさわしい品質保証活動を実施していることを説明して欲しいということである。
FDAの査察官も今後は企業側の説明をちゃんとヒアリングし妥当であるかどうかを判断するようトレーニングを受けることとなる。

注：製品ソフトウェアとは医療機器に搭載するソフトウェアのことであり、非製品ソフトウェアとは製品を製造するために使用するソフトウェアのことである。

]]>