Category: Pharmaceutical

カテゴリ分類の神話

In the course of the author’s CSV seminars, he is fed up with too many people being obsessed with categorization. Regulators define “validation” as the state in which the system in question is fully consistent with user requirements. In other words, when a packaged system is implemented, configuration settings and customizations are implemented to achieve […]

GAMPは医療機器企業で使用できるか?

筆者は多くの医療機器企業でコンサルテーションを実施してきた。その際に「このソフトウェアは、カテゴリ4ですか?」などと質問を受けることがある。この質問には、非常に違和感を覚える。カテゴリ分類は、製薬業界の自主基準ともいえるGAMPの方法論である。GAMPはもともと、製剤工場の自動化工程の品質保証のために作成された。カテゴリ分類は、「構造設備」に搭載されたソフトウェアを分類する際には有効である。そもそも、GAMPは医療機器企業のソフトウェア開発には向かない。 医療機器企業を対象としたどの規制要件にも、GAMPを参照せよとは記載されていないのである。どうして医療機器企業でGAMPが使用され始めたのかは定かではない。 本邦においては、医療機器企業に対するソフトウェアの設計管理に関する規制要件は存在しない。しかしながら、米国FDAは1985-1987年に放射線治療装置のソフトウェアの不具合により6名の人命が失われた事故を教訓として、General Principles of Software Validation(GPSV)が発行した。GPSVは、1987年に初版が発行され、2002年1月にファイナルガイダンスとして発行された。GPSVは、医療機器の設計、開発、製造に使用されるソフトウェアのバリデーションの原則を記述したものである。また、医療機器にかかわる業界およびFDAのスタッフに対するCSV関連の指針となっている。ソフトウエア開発において実施すべき一連の検証プロセスを詳細に規定している。 GPSVは、以下のソフトウェアに適用される。・医療機器のコンポーネント、パーツ、又はアクセサリーとして用いられるソフトウェア ・医療機器であるソフトウェア(例:血液組織ソフトウェア) ・装置の製造に用いられるソフトウェア(例:製造機器内のPLC) ・機器製造業者用品質システムの履行に用いられるソフトウェア(例:機器の履歴を記録、メンテナンスするソフトウェア) 今年改正される薬事法(「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」と改称)では、医療機器に搭載するソフトウェアの品質保証が強化される。 一方で、欧州、カナダ、豪州などでは、医療機器に搭載するソフトウェアとソフトウェア単体の医療機器に関しては、IEC-62304を遵守しなければならない。つまり、IEC-62304、FDAガイダンス(GPSV)に対応しなければ海外展開できないのである。医療機器企業は、GAMPではなく、GPSVやIEC-62304に準拠したソフトウェア開発およびバリデーションを実施しなけらばならない。 ]]>

Self Inspectionとデータインテグリティに関する規制当局の期待

英国医薬品庁(MHRA)は、ホームページで「MHRA expectation regarding self inspection and data integrity」という記事を掲載している。 この記事の中で、MHRAは、製薬企業は自己点検の重要性を見直し、データインテグリティやトレーサビリティが有効なものとなることを期待している。 データインテグリティの問題としては、故意による不正や改ざんによるものよりは、不注意、教育不足、チェック不足等による、要員の問題が大きい。 各国の規制当局は、サプライチェーンがグローバル化していることに伴い、海外査察の回数を増やしている。しかしながら、査察にかけることができるリソースは限られているため、効率的な査察手法が必要である。従来の査察では、査察官から指摘された事項を是正しておけば、容認されてきた。しかしである、わずか数日の査察で査察官が発見することができる問題点・リスクは数が限られている。したがって、査察官が発見したエラー(リスク)に対して是正を行えば自国民の安全が守られるということにはならない。 そこでFDAなどの査察では、エラー(リスク)を発見する査察手法から、当該企業が経営者のガバナンス(統治)のもと『品質システム(品質システム)』を確立しているかどうかを調査するといった手法に切り替えている。どんな企業が査察官に安心感を与えるかというと、製薬企業や医療機器企業において、優秀な監査員が存在し、内部監査(Self Inspection)が適切に実施されていることである。 Self Inspectionは、日本の省令等では「自己点検」と訳されているが、この用語は適切ではない。Self Inspectionでは、企業自らの内部監査等によって、日々リスクを発見し、是正・予防することが重要である。つまり当局査察で指摘されるのを待って改善するのではなく、企業自らが積極的に改善活動を実施するのである。Self Inspectionでは、潜在している問題点(つまりリスク)を自ら発見することが必要である。是正処置・予防処置やSelf Inspection(内部監査)の結果は、マネージメントプロセスにフィードバックし、マネジメント(経営者)が、マネジメントレビュなどによって改善指示を出したり、次年度の品質目標をたてることになる。 データインテグリティを保証するためには、企業のトップ以下が全員参加で、PDCAのサイクル(Plan・Do・Check・Action)を回し続け、企業全体がスパイラルアッフするシステムを構築する必要がある。そのためには、Self Inspection(内部監査)と是正処置が企業の体質の強化にとってきわめて重要である。企業体質を向上させるチャンスを自ら放棄するような原因究明の省略は厳に慎まなければならない。つまり、同じ不適合が何度も繰り返して起きることがないような再発防止のシステム作りが大切である。一概に単純な不適合だから単なる修正処置をするだけで良いとか、原因究明や再発防止をする必要がないと考えるのは企業のスパイラルアップのために得策ではない。単純な不適合こそ、原因究明や再発防止を怠ると、モグラ叩きのようにまた同じ不適合が繰り返されてしまい、PDCAのサイクルが回らなくなってしまう。 データインテグリティに関する規程・手順書 イーコンプレスでは「データインテグリティ規程・手順書」のひな形の販売を開始いたしました。 データインテグリティ規程・手順書  55,000円(税込) 【目次】データインテグリティ規程 1. 目的2. 適用範囲3. 用語の定義4. 背景5. データインテグリティの原則6. データガバナンス6.1 データインテグリティのためのステップ6.1.1 教育およびコミュニケーション6.1.2 リスクの発見および低減6.1.3 技術およびITシステム6.1.4 データガバナンス7. 手順書等8. 参考9. 付則 データインテグリティ手順書 1. 目的 2. 適用範囲 3. 用語の定義 4. 役割と責任 5. 啓発活動 6. 教育訓練 7. 関連する手順書の改訂  7.1 リスクマネジメント    7.1.1 リスクの検討    7.1.2 リスク低減策の検討    7.1.3 リスク低減策の実施  7.2 データライフサイクル    7.2.1 データの作成    7.2.2 データの処理    7.2.3 データのレビュ・報告・使用    7.2.4 データの保管・維持 8. コンピュータシステムの見直し、導入 9. 監視・測定 10. 監視・測定 11. 記録の保管 12. 参考 13. 付則  ご購入は こちら ]]>

ALCOAについて

最近、製薬業界ではデータインテグリティに関する関心が高まっている。昨今の査察では、データインテグリティに絡んでのWarning Letterが多くなってきているためである。ともするとデータインテグリティは電子記録にフォーカスされがちであるが、その要件は、手書き(紙)および電子によるデータの両方に等しく適用されるので注意が必要である。 データインテグリティという用語は、1997年8月に施行された21 CFR Part 11に伴ってFDAが最初に使用したものであると記憶している。 2015年1月、MHRA(英国医薬品庁)は「MHRA GMP Data Integrity Definition and Guidance for Industry」 (MHRA GMPデータインテグリティ 定義と業界へのガイダンス)と呼ばれるガイダンスを発出し、3月にはその改訂版であるRevision 1.1を発出した。さらに現在はGLP, GCP, GMP, GDP,GVPに拡大したガイダンスの改定を行っている。 さらにWHOでは、2016年5月31日に開催された 会議にて、Guidance on Good Data and Record Management Practices(GDRP)が承認された。 FDAにおいても4/14付で「Data Integrity and Compliance With CGMP」と題する企業向けドラフトガイダンスが発出された。 MHRA、WHO、FDAの各ガイダンスでは”ALCOA“と呼ばれる概念が紹介されている。 FDAは1999年4月に発行した「Computerized Systems Used in Clinical Trials」と呼ばれPart11の後に発出されたガイダンスとして、その序文において初めてALCOAの概念を明記した。以下のように明記されていた。 『FDAが臨床試験データを受領するという決定は、オンサイトの査察や監査中に、データの品質やインテグリティを確認できるかどうかというFDAの能力にかかっている。受け入れ可能となるためには、電子的に収集され記録されようとも紙媒体に記録されようとも、データは基本的な品質のエレメントに適合しなければならない。データは、属性を持ち、読みやすく、同時性があり、オリジナルであり、正確でなければならない。』(FDA’s acceptance of data from clinical trials for decision-making purposes is […]

データインテグリティについて

データインテグリティについて 製薬業界においては、大掛かりな製造記録や品質試験記録の改ざん事件が後を絶たず、規制当局にとっても患者の安全性を確保するために査察を強化しなければならなくなっている。 紙媒体であれ、電子記録であれ、記録(データ)や文書の信頼性を担保することは極めて重要だ。 筆者は昨今世間をにぎわしている某製薬企業の不正について、ある大手新聞社のインタビュを3回にわたって受けた。当該新聞記者の関心事は、日米の査察の方法の違いであった。また米国において不正が発見された場合にはどのようなペナルティが課せられるかということであった。ご存知の読者も多いと思うが、米国では極めて高額な制裁金が課せられる。2002年には、QCデータを組織に敵に改ざんしていた某大手製薬企業に対して500M$もの罰金が科せられた。 インテグリティ(integrity)を辞書で引くと「誠実」という意味であることが分かる。では、データが誠実ということは何を意味するのだろうか。その答えは、規制当局にとってデータが信用できるということである。そのためには、データは作成されてから現在までの経緯(例:変更)がわかるようにしておかなければならない。つまり紙媒体であれ、電子記録であれ監査証跡が必要だ。監査証跡が必要ということは、データが生データだけではなく、メタデータも含めて完全でなければならないということである。したがって、データインテグリティは、しばしば意訳され「データの完全性」と訳される。 ではいったい、データの完全性を担保するためには、どのような事項に留意するべきだろうか。またデータインテグリティが失われた場合、何が問題になるのだろうか。 その答えは、監査証跡の保持である。監査証跡のない電子記録は、改ざんやねつ造の有無(証拠)がわからない。したがって規制当局が査察を実施することができなくなってしまう。なぜならば信用できるかどうかわからない記録を査察しても意味がないからである。査察が実施できない場合、規制当局は医薬品の出荷を認めることができなくなってしまい、結果的に患者に迷惑がかかってしまうのである。 昨今の製薬企業では、記録を手書きにより作成することは非常に少なくなった。多くの場合、記録は電子で作成されているだろう。しかしながら、記録の保管については電子記録を紙媒体に印刷したものに手書き署名(記名・捺印)をするといったハイブリッドな使用方法が多くを占める。しかしながら、ハイブリッドシステムでは不正が容易になってしまう。つまり電子記録を改ざんした後に再印刷し、バックデートで署名するといった手口だ。 FDAの査察官は、電子記録の不正の手口を教育され、見破り方を身に着けているとされる。電子記録と紙媒体の管理はどのように行うべきだろうか。 一方において、FDAは1997年に21 CFR Part11を発行し、電子記録の信頼性に関する要求事項を明らかにした。しかしながら、その要件には実現が困難なものも多くあった。特に問題となったのは、コンプライアンスコストだ。規制当局は、患者の安全性を担保するために規制要件を強化する必要があるが、規制要件を強化しすぎるとコンプライアンスコストを高める結果となってしまう。製薬企業が負ったコンプライアンスコストは薬価に転嫁され、結果的には患者負担となってしまう。すなわち、いたずらにコンプライアンスコストを高めてしまうことは、逆に患者に負担を強いる結果となってしまう。そこでFDAは、2003年に新しい医薬品監視指導方針として「リスクベースドアプローチ」という方法を発表した。 FDAの最新のPart11の期待と指導はどのようになっているのかを知っておく必要がある。 2015年には、イギリスのMHRAが「MHRA Data Integrity Definitions and Expectations」と呼ばれるガイダンスを発行した。その内容は非常に参考になる。今後は世界の規制当局が同じようにデータインテグリティに関する期待を述べる機会が増えると思われる。 データインテグリティとは 昨今、製薬企業や医療機器企業ではデータインテグリティに関する関心が高まっている。データインテグリティを本邦では「データの完全性」と訳しているケースが多い。しかしながら筆者はこの訳に違和感を感じている。 データインテグリティを構成する要素には以下の4つがある。 Complete Accurate Consistent Secure である。(図参照)まずCompleteが完全性である。つまり完全性はデータインテグリティの一つであるがすべてではないのである。次にAccurateは正確性である。データの正確性を証明するのはそう容易くはない。例えば、使用した分析機器が適切に点検、校正されていたか。試薬の有効期限が切れていなかったか、また試薬の種類や量を間違わなかったか。分析結果の転記ミスはなかったか、また計算ミスはなかったか、などである。果たしてこれらを第三者が客観的に確認できる記録が残されているだろうか。Consistentは一貫性である。一貫性とは更新された2つのデータレコードの間における、あらゆるデータの変更や改ざんがないことである。データの再現性やトレーサビリティが重要となる。Secureはセキュリティで保護されている状態である。故意か事故かに関わらずデータが消失したり意図しない変更を加えられてはならない。 データインテグリティというとすぐにデータの不正を連想する人が多い、そうではないのである。事故であれ、故意であれ、データが意図せず変更(改ざん)されてしまっては患者の安全性が担保できないのである。つまり改ざんによってデータが変更された事象と、不注意でデータが変更されて事象では、患者に対する影響は同じなのである。実は、手順書の不備(チェックの不備)や教育訓練の不徹底などによるデータインテグリティ違反は全体の80%にものぼる。手順書の改訂やデータインテグリティに関する教育の徹底が望まれる。また?データインテグリティのセミナーなどでは、Part11を引き合いに電子記録を中心に解説されていることが多い。筆者はこれにも違和感を感じている。データインテグリティは、紙媒体にも電子記録にも等しく適用される。紙媒体のデータインテグリティ違反と電子記録のデータインテグリティ違反では、どちらも患者に対する健康被害は同じであるからである。 データインテグリティに関する規程・手順書 イーコンプレスでは「データインテグリティ規程・手順書」のひな形の販売を開始いたしました。データインテグリティ規程・手順書  55,000円(税込) 【目次】データインテグリティ規程1. 目的2. 適用範囲3. 用語の定義4. 背景5. データインテグリティの原則6. データガバナンス6.1 データインテグリティのためのステップ6.1.1 教育およびコミュニケーション6.1.2 リスクの発見および低減6.1.3 技術およびITシステム6.1.4 データガバナンス7. 手順書等8. 参考9. 付則 データインテグリティ手順書1. 目的 2. 適用範囲 3. 用語の定義 4. 役割と責任 5. 啓発活動 6. 教育訓練 7. 関連する手順書の改訂  7.1 リスクマネジメント    7.1.1 リスクの検討    7.1.2 リスク低減策の検討    7.1.3 リスク低減策の実施  7.2 データライフサイクル    7.2.1 データの作成    7.2.2 データの処理    7.2.3 データのレビュ・報告・使用    7.2.4 データの保管・維持 8. コンピュータシステムの見直し、導入 9. 監視・測定 10. 監視・測定 11. 記録の保管 12. 参考 13. 付則  ご購入は こちら 【関連商品】VOD 配信セミナー当社VOD配信セミナーは、視聴期間および回数制限はございません。お好きな時間に、繰り返し何度でもご視聴いただけます。・改正GMPセミナーシリーズ データインテグリティ編・ データインテグリティSOP作成セミナー セミナービデオ資料およびセミナービデオをダウンロードするためのURLを電子メールでご案内いたします。DVDは別途郵送いたします。・改正GMPセミナーシリーズ データインテグリティ編・データインテグリティSOP作成セミナー QMS(手順書等)ひな形販売・データインテグリティ規程・手順書 書籍・当局要求をふまえた データインテグリティ手順書作成の要点 ]]>

医薬品と医療機器の相違点について

筆者がコンサルティングを実施している中で、医薬品の規制と医療機器に関する規制の違いに直面することがある。例えば、プロセスバリデーションやリスクマネジメントなどである。同じ用語を使用しているが、医薬品企業と医療機器企業ではその実施方法が異なる。今回は、医薬品企業と医療機器企業の差異を明らかにし、それぞれの規制要件の適切な理解をしたい。 1.品質保証について 筆者がコンサルティングを実施している中で、医薬品の規制と医療機器に関する規制の違いに直面することがある。例えば、プロセスバリデーションやリスクマネジメントなどである。同じ用語を使用しているが、医薬品企業と医療機器企業ではその実施方法が異なる。今回は、医薬品企業と医療機器企業の差異を明らかにし、それぞれの規制要件の適切な理解をしたい。 2.リスクマネジメント vs 品質リスクマネジメント 医療機器の不具合は患者(使用者)にダイレクトに影響する。しかしながら医薬品は、構造設備(製造に使用する設備、機器、システム等)の不具合が医薬品の品質に影響し欠陥が潜む。欠陥のある医薬品を患者が服薬した際に健康被害が発生する 。したがって、医療機器は「リスクマネジメント」を実施するのに対して、医薬品では「品質リスクマネジメント」(QRM:Quality Risk Management)を実施する。つまりリスクがダイレクト(直接的)かインダイレクト(間接的)かが異なる。 3.医療機器は設計問題が最重要 医薬品の品質不良のほとんどが製造所の問題である。例えば不純物混入やラベル間違い、個装の破損などである。一方で、医療機器は例え製造が適切であっても、そもそも設計が間違っていると安全ではない。また、たとえ設計が適切であったとしても、そもそもユーザ要求が間違っていることもある。 4.検査方法の違い 医薬品は破壊検査が基本であるため、サンプリングによりQCを実施する。医療機器においては、多くが非破壊検査が可能である。つまりサンプリングではなく、全品検査が可能である。医薬品の場合、OOS(規格外:Out Of Specification)が発生した場合、バッチごと廃棄をせざるを得ない。しかしながら、医療機器は不適合品のみを廃棄するか、 リワーク(手直し)した後に合格すれば出荷が可能である。 5.プロセスバリデーション 医薬品は破壊検査しかできないため、すべての工程に対してプロセスバリデーションが必要である。一方、医療機器は後の工程で十分な検査ができない特殊工程(例:はんだ付け、滅菌、かしめ等)のみプロセスバリデーションが必要である。 本セミナーの完全版は下記のURLからご購入下さいhttps://ecompliance.co.jp/SHOP/L_FDA.html 【関連商品】VOD配信セミナー当社VOD配信セミナーは、視聴期間および回数制限はございません。お好きな時間に、繰り返し何度でもご視聴いただけます。■ 医療機器企業におけるリスクマネジメントセミナー セミナービデオ資料およびセミナービデオをダウンロードするためのURLを電子メールでご案内いたします。DVDは別途郵送いたします。■ 製薬企業における品質リスクマネジメントセミナーQMS(手順書等)ひな形販売■【ISO 14971:2019対応】リスクマネジメント規程・手順書・様式 ]]>

規制遵守・品質改善の3要素

筆者がコンサルテーションを実施する中で、コンピュータシステムの導入を急ぐ企業が多い。しかしながら、コンピュータシステムは拙速に導入するべきではない。 規制要件を遵守し品質を改善するためには、Process、People、Technologyの3要素が不可欠である。また、導入順序もこの順である。つまりコンピュータシステムの導入は最後なのである。 Process、People、Technologyの導入はバランスがとれていなければならない。 1.Process まず最初に手を付けるべきなのがプロセスである。規制要件に適合したQMS(SOP)を構築しなければならない。品質改善の第1歩はプロセス改訂である。特に複雑な手順を持っている企業は、シンプルで理解しやすく、変更しやすいQMSに改訂する必要があるだろう。またプロセス中の「無理」「無駄」をなくすことも重要である。プロセスの改訂は他の2要素に比べると比較的容易である。なぜならば規制要件を遵守するよう取り決めるのみだからである。 2.People プロセス改訂が完了したら、People Managementが重要である。プロセスと要員は、車の両輪のごとくである。品質改善のためには、プロセスパワーとピープルパワーのバランスが必要である。前述の通り、プロセスは比較的容易に決定できるが、要員がついてこない(ついてこれない)ことの方が多い。人はすぐには変われないからである。People Managementの中でも特に重要なのは、Change Managementである。プロセスの変更に伴う混乱を最小化し、最短で新プロセスへ移行しなければならない。 Change Managementでは、教育、訓練、コーチングの順に実施しなければならない。多くの企業では、教育(座学)しか実施していないことが多い。自動車教習所で例えると、教育は学科教習である。 学科教習のみでは、自動車の運転は不可能である。路上教習がトレーニングに当たる。プロセスを変更した後は混乱を来すことが多い。そのため、トレーニングにより、混乱期を短く浅く抑える必要がある。また新プロセスが始動した後も常にコーチングを行い、継続的に品質改善・効率改善を指導していく必要性がある。企業において最も充実させなければならないのが、監査員である。優秀な監査員が存在しなければQMSや組織を適切に維持することができず、またQMSの有効性も向上させることができない。規制当局にとって安心な企業は、優秀な監査員が存在することである。 3.Technology プロセスと要員の教育訓練が完了した後にコンピュータシステムの導入を行う。しばしば、コンピュータシステムを導入すればプロセスが改善されると思っている企業を見かけるがそれは大きな間違いである。「プロセスが混乱したままのシステム導入は、混乱をそのままシステム化してしまうことに過ぎない。」ということを肝に銘じなければならない。プロセスが適正化され、要員が教育訓練されているうえでコンピュータシステムを導入をすれば、規制要件違反が減少し、効率的な品質向上、強いて言えばコストダウンにつながるだろう。 ]]>

規制当局が要求する監査について

筆者がコンサルテーションや外部監査、模擬査察などを実施する中、監査に対する誤解が多いように感じている。 監査は、「間違いを見つけること」ではない。「間違いがないことを確認する」ことである。間違いを見つけるのはQCの仕事である。また品質を保証するのはQAの仕事である。では、いったい監査の目的は何であろうか。 例えば、PIC/S GMPの第9章には以下のような要件が記載されている。「それらが品質保証の原則に適合しているか検証するため、あらかじめ定められたプログラムに従った間隔にて監査されること。」また、21 CFR Part 820 QSRの820.22 品質監査には以下の記載がある。「各製造業者は、品質監査の手順を確立し、品質システムが品質システム要求を遵守していることを確実にするため、および品質システムの有効性を判定するために監査を実施すること。」いずれも間違いを発見せよとは記載されていない。監査では、品質システム(QMS)が、規制要件を満たしているか、また品質システム(QMS)の有効性を判定することがその目的である。 どのような企業がFDA等の規制当局に好印象を与えるかというと、・FDA査察官と同様のスキル・洞察力をもった監査員が存在し、内部監査(Self Inspection)が適切に実施されている。・内部監査の指摘に対して、CAPAを実行し、常に改善を図っている。・品質システムが有効に機能しており、その証拠が揃っている。上記を満たす企業である。 医薬品企業・医療機器企業がグローバル化を促進する中、FDAをはじめ海外の規制当局の査察を受ける機会が多くなった。一方で規制当局は、サプライチェーンがグローバル化していることに伴い、海外査察の回数を増やしている。しかしながら、査察にかけることができるリソースは限られているため、効率的な査察手法が必要である。従来の査察では、査察官から指摘された事項を是正しておけば、容認されてきた。しかしである。わずか数日の査察(FDAによる査察は、日本においては4日間)で査察官が発見することができる問題点・リスクは数が限られている。したがって、査察官が発見したエラー(リスク)に対して是正を行えば自国民の安全が守られるということにはならない。そこでFDAなどの査察では、エラー(リスク)を発見する査察手法から、当該企業が経営者のガバナンス(統治)のもと『品質システム(品質システム)』を確立しているかどうかを調査するといった手法に切り替えているのである。 「自己点検」は、英語では「Self Inspection」を訳したものであるが、この訳には問題がある。本来は「自己査察」または「内部監査」である。lこれまでの製薬・医療機器企業は、当局の指摘に従って改善していれば、許可が与えられた。しかしながら、当局の指摘を行う能力や、時間に依存する。したがって、当局の査察(Authority Inspection)ではなく、自社の監査(Self Inspection)により、リスクを受容可能まで低減することが重要である。なお、「自己点検」は、内部監査、外部監査、定期レビュ、マネージメントレビュなどからなる。 また、監査を実施し、指摘事項をまとめ、監査報告書を作成することで監査を終了しているケースをしばしば見かける。そうではない。監査は、指摘に対して被監査部門が是正処置を行い、その結果をフォローアップ(再監査)することによって確認することによって終了するのである。 ]]>