電子署名について
FDAは、1997年8月20日に21 CFR Part 11 ”Electronic Records; Electronic Signatures”(以下、Part11)という規則を発行した。
意外と知られていないことであるが、Part11は製薬業界からの要請に従って作成された規則である。
というのも医薬品の製造工程や品質試験が電子化されてきたが、手書きの署名を付すためだけに最終的に紙に印刷を行っていた。
それでは不合理だということになり、業界がFDAに対してペーパーレス化(すなわち電子署名)を認めるための要件を示すように要請したのである。
つまり、Part11は元々は電子署名を中心として検討されてきた経緯がある。
電子署名に求められる要件は、以下の2つである。
1)本人性の確保
2)非改ざん性の確保
いずれも事後否認ができないための措置である。
まず本人性の確保であるが、電子署名を付す場合にはパスワードの入力が必要である。
つまり本人以外は実施できないことが条件なのである。
よくある間違いとして、ログオン時にパスワードを入力しているので、署名時にはパスワードは不要であるといった勘違いである。
ログオンしたまま端末を離れてしまった場合、他人が偽って署名を行うことができてしまうからである。
電子署名を付す際には、必ず1回毎にパスワードの入力が必要である。
ただし、パスワードの管理がずさんであった場合には問題となる。
また他人にパスワードを教えて代理で署名させる行為もできてしまう。
このような行為のことをなりすましと呼ぶ。
なりすましは査察時には絶対に発見することができない。なぜならば電子署名は手書きの署名とは異なり、筆跡が残らないからである。
そこでFDAは、電子署名を付すことができる者に教育訓練を徹底し、Part11を遵守することの誓約書を書かせるなどの措置を要求している。
次に非改ざん性の証明であるが、電子署名を付した電子記録は変更不可にならなければならない。
万が一、電子記録を変更した場合には、電子署名が無効にならなければならないのである。
手書きの署名の場合には日付をともに記載するが、電子署名の場合は日時分まで要求されている。
これは電子記録と電子署名の前後関係を明らかにし、改ざんを防止する意図がある。
ところで多くの企業が電子署名に関して過剰な対応をしていることがある。
FDAがPart11の厳格な遵守を求めている電子署名は、製品の品質や安全性に関する記録に対する承認行為のみである。
例えば、製造記録、品質試験記録、出荷判定記録などである。
作成者の署名や確認者の署名は、必ずしもPart11規則の遵守が要求されない。
(もちろんPart11を遵守することが望ましいが…)
あまりにもPart11にこだわり、製品の品質や患者の安全性に影響がない記録まで厳格に対応することはいささか過剰品質であると言える。
SOPや教育記録などは必ずしも重要ではないかも知れないとFDAは述べている。
リスクベースドアプローチを採用し、過剰なシステム化投資を避けなければならないと言える。