気中パーティクルカウンター MET ONE 3400+のFDA 21CFR Part11 コンプライアンスガイド
21 CFR Part 11は、米国食品医薬品局 (FDA) が制定した連邦規則集のセクションです。
これは、製薬および医療機器業界向けに特別に作成され、電子記録および電子署名の作成、管理、維持のプロセスを概説しています。
この規制は、電子記録と電子署名の正確性、信憑性、信頼性、および機密性を決定する基準を設定することにより、組織が優れたビジネス慣行を遵守することを保証するためのものです。
気中パーティクルカウンター MET ONE 3400+は、GMPクリーンルームにおける日常的な環境モニタリングのための21 CFR Part 11の厳しい Data Integrity(データの完全性)基準をサポートするように設計されています。
安全な内部ソフトウェアとWebブラウザを用いたアクセスによりデータの完全性を確保し、外部ソフトウェアを不要としています。
データは暗号化され、バックアップデータと設定には当該ユニットからのみアクセス可能です。 MET ONE 3400+は、ユーザー名とパスワードの管理に Microsoft Active Directory を統合し、電子署名も可能であり、21 CFR Part 11コンプライアンスガイドに準拠するためのユーザープロセスを簡素化します。
本稿では、21 CFR Part 11の各セクションを検証し、気中パーティクルカウンター MET ONE 3400+がこれらの規制要件への準拠をどのようにサポートできるか詳しく説明します。
| 電子記録 | |
|---|---|
| 11.10 (a) | システムは、正確性、信頼性、一貫した意図された性能、無効または改ざんされた記録を識別する能力を保証するために検証されているか?
ベックマン・コールターは、精度、信頼性、一貫した性能を評価するために特別に作成されたテストにより、気中パーティクルカウンター MET ONE 3400+の性能を検証しました。暗号化されたデータベースは個別のパスワードで保護され、アプリケーションを通じてのみアクセスできます。 機器のバリデーションパッケージには、据付時適格性評価(IQ)と運転時適格性評価(OQ)が含まれます。 顧客は、ベックマン・コールターのフィールドサービスエンジニアがIQとOQの両方を実施するIQ/OQサービスを購入するか、またはIQとOQのドキュメントのみを購入して、単独で認証を実施するかを選択できます。 機器の操作と校正の信頼性と完全性を保証するために、セキュリティ管理と監査証跡機能が採用されています。 許可されたユーザーのみが、データ生成、構成設定、およびレポート・アクセスを担当するシステム領域にアクセスできます。監査証跡は、すべてのデータ、イベント、構成変更およびセキュリティイベントを記録し、モニタリングと検証を目的とした包括的なログを提供します。 システム内のユーザーアカウントの管理はお客様の責任となります。 |
| 11.10 (b) | このシステムは、必要なすべての記録の正確かつ完全なコピーを、FDA による査察、レビュー、およびコピーに適した人が判読可能な形式および電子形式で生成できますか?
MET ONE 3400+ は、すべてのデータを安全なデータベースに保存します。この機器は、レポートを TSV、Excel、または PDF ファイルとしてエクスポートしたり、ネットワーク経由で Excel、PDF、または TSV ファイルとして転送したりできます。 MET ONE 3400+からデータ収集システムに転送されたすべてのデータおよび関連記録の永久保存と複製はお客様の責任となります。これには機器が生成したデータのハードコピープリントも含まれます。 |
| 11.10 (C) | 記録は保存期間を通じて正確かつ迅速に検索できるように保護されていますか?
バックアップ&リストア機能を使用すると、サンプル、監査証跡、有線設定、ネットワークドライブ、LDAP設定、ユーザーと機器の設定をバックアップおよびリストアできます。データベースは機器の外部からはアクセスできません。なお、バックアップ&リストア機能にアクセスできるのは管理者のみです。 お客様は、記録保持期間を通じてデータと関連記録を保護するために、バックアップとアーカイブの手順を実施するものとします。 |
| 11.10 (d) | システムへのアクセスは許可された個人に限定されていますか?
システムへのアクセスは、システムによって有効なユーザーとして定義された個人に制限されます。アカウントの種類には、管理者、マネージャー、技術者の 3 つがあります。管理者は他のユーザー アカウントを管理でき、すべてのユーザーはアカウントに権限がある領域にのみアクセスできます。システムにアクセス権を持つユーザーは、固有のユーザーIDとパスワードを使用してログインする必要があります。 システム内のユーザー アカウントの管理はお客様の責任です。 |
| 11.10 (e) | 電子記録を作成、変更、または削除するオペレーターの入力および操作の日時を個別に記録する安全でコンピュータ生成のタイムスタンプ付きの監査証跡はありますか?
電子記録は保護されたデータベースに保存され、生データは暗号化されるため、ユーザーは変更できません。 MET ONE 3400+は、LDAP、ネットワーク、電源管理、プリンタ、サウンド設定およびセキュリティイベントへの変更を記録する監査証跡を保持します。この監査証跡は、管理者、マネージャー、技術者のロールを持つユーザーがレポートにまとめ、セキュリティ保護されたExcelやPDFファイルとしてエクスポートすることができます。監査証跡をエクスポートするには、ユーザーは固有のIDとパスワードを入力する必要があり、このアクションに対して監査記録が生成されます。 管理者のみが監査証跡を削除する権限を持っており、このプロセスには固有のIDとパスワードを使用した2段階の認証が必要です。監査証跡が削除されると、その監査記録も生成されます。 お客様は、最終データが保存される場所でデータの完全性を確保するために、適切な管理および手順上の制御を行なう必要があります。 |
| 11.10 (e) | 記録が変更された場合、以前に記録された情報は変更されませんか?
管理者、マネージャー、技術者は、監査証跡レポートを作成し、安全なPDFまたはExcelファイルとしてエクスポートすることができます。監査証跡をエクスポートする際、ユーザーは固有のIDとパスワードでログインする必要があります。監査証跡のエクスポート時には、その監査記録も記録されます。 お客様は、最終データが保存される場所でデータの完全性を確保するために、適切な管理および手順上の制御を行なう必要があります。 |
| 11.10 (e) | 電子的な監査証跡は、少なくとも対象の電子記録と同じ期間保存され、機関によるレビューやコピーが可能ですか?
監査証跡エントリは、十分なストレージ容量が利用可能であれば、顧客が定義した電子記録保存期間を通じて保存されます。必要な権限があれば、ユーザーは監査証跡を確認し、安全なPDFまたは Excel ファイルとしてエクスポートできます。 お客様は、必要に応じて監査証跡情報をダウンロードして保存するために、適切な管理および手順上の制御を行なう必要があります。 |
| 11.10 (f) | 許可されたステップやイベントの手順を実施するために、運用システムのチェックが行われていますか?
機器のセットアップ、校正ルーチン、測定、レポート作成など、MET ONE 3400+の制御された機能にアクセスするには、ユーザーIDとパスワードの入力が必要です。 お客様は、承認されたユーザーとパスワードを定義するために、適切な管理および手順上の制御を行なう必要があります。 |
| 11.10 (g) | 権限のある個人のみがシステムを使用したり、記録に電子署名したり、操作やコンピュータ システムの入力または出力デバイスにアクセスしたり、記録を変更したり、手元の操作を実行したりできるようにするための権限チェックが実施されていますか?
MET ONE 3400+では、機器のセットアップ、校正ルーチン、測定の実行、レポート作成、記録の電子署名など、制御された機能にアクセスするためにユーザーのパスワード入力が必要です。 お客様は、承認されたユーザーとパスワードを定義するために、適切な管理および手順上の制御を行なう必要があります。 |
| 11.10 (h) | 必要に応じて、データソースや 操作指示の妥当性を判断するために、機器によるチェックが行われているか?
ユーザー入力フィールドは、そのフィールドに有効な入力タイプと範囲に関するフィードバックをユーザーに提供します。 お客様は、必要に応じて、この管理を遵守するためのSOPを制定しなければならない。 |
| 11.10 (i) | 電子記録/署名システムを開発、維持、または使用する人は、割り当てられた業務を遂行するための教育、訓練、経験を有していますか?
気中パーティクルカウンター MET ONE 3400+を開発・保守するベックマン・コールター・ライフサイエンスの従業員の学歴と職歴の記録は、人事記録とともに確認・保管されています。 電子記録/署名の使用に関する教育、トレーニングおよび経験については、お客様が責任を負います。 |
| 11.10 (j) | 記録や署名の改ざんを抑止するために、電子署名に基づいて開始されたアクションに対して個人に説明責任と責任を負わせる文書化されたポリシーが確立され、遵守されていますか?
電子署名を導入する組織は、文書に署名する担当者が、電子署名と手書きの署名が同等の拘束力を持つことを理解できるようにするための書面によるポリシーを作成する責任があります。 |
| 11.10 (k) (1) | システムの運用と保守のための情報伝達、ドキュメントへのアクセスと使用に対して適切な管理が行われていますか?
お客様は、必要に応じて、この管理を遵守するためのSOPを制定しなければならない。 |
| 11.10 (k) (2) | システム文書の開発と変更の時系列を文書化した監査証跡を維持するための、正式な改訂および変更管理手順がありますか?
お客様は、必要に応じて、この管理を遵守するためのSOPを制定しなければならない。 |
| オープンシステムの管理 | |
|---|---|
| 11.30 | 電子記録が作成されてから受信されるまでの間、電子記録の真正性、完全性、および機密性を保護するための手順および管理が使用されていますか?
該当なし;クローズドシステム |
| 11.30 | 電子記録が作成されてから受信までの間、電子記録の機密性を確保するために追加の対策が講じられていますか?
該当なし;クローズドシステム |
| 署名の明示 | |
|---|---|
| 11.50 (a) |
署名された電子記録には、署名に関連する次の情報が含まれていますか。
|
| 11.50 (b) | これらの項目は、人が判読可能な形式の電子記録の一部ですか?
MET ONE 3400+は、人が判読可能なすべての文書および印刷フォームに可視化された署名を配置します。この署名には、テキストのみの形式で表示されるログイン用のユーザーIDが含まれます。 |
| 署名/記録の紐付け | |
|---|---|
| 11.70 | 電子署名は、改ざんを防ぐためにその署名が通常の手段で電子記録を削除、コピー、またはその他の方法で転送できないように、それぞれの電子記録に紐付けされていますか?
気中パーティクルカウンター MET ONE 3400+は、エクスポートされた文書内の署名を暗号化し、その署名が他の文書に抜き取られたりコピーされたりすることを防ぎます。 |
| 一般的な要件 | |
|---|---|
| 11.100 (a) | それぞれの電子署名は 一個人に固有であり、他人によって再利用されたり、再割り当てされたりすることはありませんか?
MET ONE 3400+は、ID/パスワードの組み合わせが1人のローカルユーザーに直接帰属することを保証します。ユーザーが削除された後、同じユーザー名を持つユーザーを再作成することはできません。 Windows ユーザーアカウントの一意性を保証する書面によるポリシーを作成するのは組織の責任です。 |
| 11.100 (b) | 個人の電子署名または電子署名の要素の確立、割り当て、認証、またはその他の権限を付与する前に、個人の身元を検証していますか?
これは、電子署名手続きや個人へ電子署名権限の付与の前に、お客様の要件となります。 |
| 11.100 (c) | 企業の電子署名証明書をFDAに提出しましたか?
これはお客様の責任です。 |
| 11.100 (c) (1)
11.100 (c) (2) |
従来の手書き署名付きの紙の形式ですか?
特定の電子署名が署名者の手書き署名と同等の法的拘束力を持つという追加の証明または証言を提供できますか? 電子署名された文書を FDA に提出する前に、電子署名を使用する意向を登録するのは会社の責任です。さらに、文書に電子署名するユーザーが電子署名の法的意味を理解できるように、トレーニングプログラムを実施する必要があります。 |
| 電子署名コンポーネントと管理 | |
|---|---|
| 11.200 (a) (1) | 電子署名には、少なくとも 2 つの異なる識別コンポーネント (ユーザーID とパスワード) が使用されていますか?
はい、気中パーティクルカウンター MET ONE 3400+は、安全なデータベースに保存された永続的なデータを生成します。ユーザーには、固有のユーザーIDとパスワードを使用して電子的に署名する権限が与えられます。許可されたユーザーだけが、データ生成、設定、レポートへのアクセスを行うシステム領域にアクセスできます。 |
| 11.200 (a) (1) (i) | ある個人が、制御されたシステム・アクセスの単一継続期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されますか?
1 人のユーザーがログインして連続して使用しているかどうかに関係なく、すべての署名にはユーザーIDおよびパスワードが必要です。 MET ONE 3400+ は、セキュリティ保護されたデータベースに保存される永続的なデータを生成します。ユーザーは、一意の ID/パスワードを使用して電子署名に署名することを許可されます。 ユーザーが認証されると、アクセス期間は自動ログオフ機能 (有効になっている場合) によって制御され、システム制御がアイドル状態になるとアクセス期間が終了します。 |
| 11.200 (a) (1) (i) | ある個人が、制御されたシステム・アクセスの単一継続期間中に一連の署名を実行する場合、その後の各署名は、その個人のみが実行可能で、その個人が使用するように設計された少なくとも 1 つの電子署名コンポーネントを使用して実行されますか?
1人のユーザーがログインして継続的に使用しているかどうかにかかわらず、すべての署名にはユーザーIDおよびパスワードが必要となります。 |
| 11.200 (a) (1) (ii) | ある個人が、制御されたシステム・アクセスの単一継続期間中に実行されなかった一連の署名を実行する場合、各署名にはすべての署名コンポーネントが必要ですか?
1人のユーザーがログインして継続的に使用しているかどうかにかかわらず、すべての署名にはユーザーIDおよびパスワードが必要となります。 |
| 11.200 (a) (2) | 権限のある所有者のみが電子署名を使用できるように管理されていますか?
電子署名を導入する組織は、権限のある所有者のみがユーザーアカウントを使用できるよう、文書化されたポリシーを作成する必要があります。気中パーティクルカウンター MET ONE 3400+は、認証とアクセス制御にWindowsユーザー管理を使用し、ユーザー権限に関する既存の制御を活用します。 |
| 11.200 (a) (3) | 電子署名は、特定の個人の電子署名を本人以外が使用しようとする場合、2人以上の協力が必要 となるように管理・実行される必要がありますか?
電子署名を導入する組織は、真正な所有者のみがユーザーアカウントを使用できることを保証するために、文書による方針を策定しなければなりません。 |
| 識別コード/パスワードの管理 | |
|---|---|
| 11.300 (a) | 2人が同時に識別コードとパスワードの組み合わせを持たないように、組み合わせた各識別コードとパスワードの一意性を確保するための管理は行われていますか?
MET ONE 3400+は、ユーザーID/パスワードの組み合わせが1人のローカルユーザーに直接帰属することを保証します。ユーザーが削除された後、同じユーザー名を持つユーザーを再作成することはできません。 Windows ユーザーアカウントの一意性を保証する書面によるポリシーを作成するのは組織の責任です。 |
| 11.300 (b) | 識別コードとパスワードの発行が定期的に確認、呼び出し、および修正されるようにするための管理が実施されていますか?
ユーザーが認証され、Data Integrity機能がオンになると、アクセス期間は自動ログオフ機能によって管理されます。システム制御が15分間非アクティブになると、ユーザーはシステムからログアウトされ、再度使用するためにはログインし直す必要があります。その後、ユーザーは新しい管理期間を開始するために再度ログインする必要があります。さらに、ソフトウェア上では90日ごとにパスワードの変更を要求します。 |
| 11.300 (c) | 紛失、盗難、紛失、その他潜在的に侵害されたトークン、カード、およびユーザーIDやパスワード情報を保持または生成するその他のデバイスを電子的に無効にするための紛失管理手順はありますか?
MET ONE 3400+のローカルユーザーに対する2段階のパスワード保護機能により、管理者はユーザーIDとパスワードへのアクセスを管理し、ユーザーを削除することができます。また、管理者は別のユーザーに新しいパスワードの入力を促すこともできます。 電子署名を導入する組織の責任として、漏洩した Windowsユーザーアカウントを電子的に無効化できるようにするポリシーを文書化する必要があります。 |
| 11.300 (d) | 不正なパスワードや識別コードを防ぐために、トランザクションのセーフガードは使用されていますか?
気中パーティクルカウンター MET ONE 3400+は、不正なパスワードを受け入れません。 ログイン試行が 5 回連続して失敗すると、機器はアカウントをロックし、管理者またはサービス技術者がロックを解除する必要があります。 アカウントがロックされるまでのActive Directoryアカウントの失敗回数は、ドメインコントローラで調整可能です。 失敗したログイン試行を含むすべてのセキュリティイベントは、監査証跡に記録されます。失敗したログインイベントの詳細を記した監査証跡レポートを作成することができます。 お客様は、識別コードとパスワードの不正使用を防ぐために、適切な管理および手順上の制御を実施する必要があります。 |
| 11.300 (d) | トランザクションのセーフガードは、不正使用の試みを即座に緊急に検出し、システムセキュリティユニットおよび必要に応じて組織管理者に報告するために使用されていますか?
気中パーティクルカウンター MET ONE 3400+は、すべてのセキュリティイベントを監査証跡に記録し、失敗したログインイベントをすべて表示する監査証跡レポートが生成されます。 お客様は、識別コードとパスワードの不正使用を防ぐために、適切な管理および手順上の制御を実施する必要があります。 |
参考文献
- Food and Drug Administration, Dept of Health and Human Services.
21 CFR Part 11. eCFR System. Retrieved August 8, 2024,
from https://www.ecfr.gov/current/title-21/chapter-I/subchapter-A/part-11?toc=1
