バリデーションの意図をとり違えていないか
筆者はしばしばFDA査察に立ち会うことがある。昨今のForm FDA 483ではコンピュータ化システムについて「意図した利用に対してバリデートされていない。」という指摘が増えてきている。
なぜこのような指摘が出されるのかを解説してみたい。
そもそもFDAによるバリデーションの定義は「confirmation by examination and provision of objective evidence that the particular requirements for a specific intended use can be consistently fulfilled(定められた用途に対する特有の要求事項が一貫して満たされていること を客観的証拠の検証および提供によって確認すること)」である。
つまり、ユーザの意図した利用とシステムの仕様(機能)が一致していることを確認することである。日本語では「妥当性の確認」という。(図参照)
一般にIT業界においてはバリデーションはソフトウェアのテストのことを指す。すなわちバグのないシステムを構築するためにテストを繰り返す。
しかしである。何回テストを繰り返したとしても、当該システムの仕様が意図した利用に適合していなければバリデートされたことにはならない。
本メルマガ第136号でも解説したとおり、例えば手術を行う際にメスがなかったとしよう。そのため近所の最高級刃物店で最高品質のナイフを買ってきた。しかしながら例え最高級ナイフであったとしても手術といった「ユーザの意図し た利用」には適さないことは自明である。これでは事故が起きてしまう。
医薬品や医療機器等のヘルスケア規制においては、ユーザ要求とシステムの仕様(機能)が完全に一致していることを要求している。
主に以下が「意図した利用に対してシステムがバリデートされていない」例である。
- 苦情やCAPAのデータベースのステータスを逐次修正できない。(SOPでは更新することとなっている)
- 品質保証部門や監査担当者が記録の編集権限を持っている。(SOPでは品質保証部門や監査担当者が記録を変更してはならないことになっている)
- 監査証跡を確認する機能がない。
- 分析機器の結果が上書きできてしまう。(SOPでは上書き禁止となっている)
各ソフトウェアベンダーが、CSV実施を売り物にしている場合がある。しかしながらそのほとんどは正しい理解をしていない。
このような状況ではFDA査察において指摘が出されてしまうだろう。
なお平成24年4月1日から施行された「コンピュータ化システム適正管理ガイドライン」においてはバリデーションの定義が記載されていない。
その代わりに「検証業務」として以下のように定義している。
「コンピュータ化システムが、要求仕様等に定めた要件に合致して設計され、据え付けられ、システム の稼働環境及び稼働状態において、機能及び性能を発揮することを確認すること。」
しかしながらソフトウェアのバリデーションに対して、プロセスバリデーションにおける設備等(ハードウェア)の適格性評価時に用いるDQ、IQ、OQ、PQといった用語を使用していることは極めて残念である。
これでは業界に誤解を与えてしまう。
日本以外の規制当局でCSVにおける規制要件としてDQ、IQ、OQ、PQといった用語を使用している国を筆者は知らない。