ER/ES(厚生労働省)やFDA 21 CFR Part 11(米国)では、該当する業務に使用するコンピュータシステムはCSV(Computerlized
Sysytem Validation)が実施されていることが前提になっています。
CSVは、「システム開発」から「システムの廃棄」にいたるシステムライフサイクルすべてにわたって、医薬品、医療機器にかかわるコンピュータの妥当性を証明することです。
CSVの達成には「品質保証のプロセス」についての十分な理解が必要です。 |
|
Page Index |
|
(コンピュータシステムの信頼性・品質保証) |
|
|
|
(CSV) |
|
|
|
|
|
テストの重要性に目覚めたCIOに贈る「9つの教訓」と「5つの質問」 CIO Online、2006年7月2日
ソフトウェア・プロジェクトにおいて、「テスティング」は非常に重要な工程であるにもかかわらず、なぜか軽視されがちである。多くの企業が、テスティングのための予算や時間、人材を十分に用意しているとは言い難い状況にある。だが、CIOであれば、心の奥ではだれもがそんな現状を憂えているはずだ。そこで本稿では、テストの重要性に目覚めたCIOのために、多くの米国企業への取材から得ることのできた、テスティングの水準を高めるための「9つの教訓」と、CIOがテスティングの問題点を把握するためにテスト責任者に発すべき「5つの質問」を紹介することにしたい。
|
プロセスでつくりこむソフトウェアの製品品質 NTTソフトウェア
これまで企業ごとに個別に取り組まれてきたソフトウェアの品質保証の取り組みについても、近年、品質保証プロセスの標準化や第三者機関による品質保証能力認証の方向に活発化してきている。ソフトウェア開発における品質保証とは何か。
ISO9001の取得も含め、NTTソフトウェアでの取り組みを例に、そのポイントを紹介する。
|
プログラムの品質と信頼性 ユートラム 2003年
プログラムの品質の問題を、プログラムミングの技法にとどまらず品質マネージメントシステムにまで広げ考えている
|
阪南大学経営情報学部教授 玉置彰宏HP 「ソフトウェア工学の勧め」より
・ソフトウェアの品質について
・高品質のソフトウェアを作る方法
・ソフトウェアの品質保証
・ソフトウェアプロセス
|
プロジェクトマネジメントの無償のトレーニングやテンプレートツール マイクロソフト
Project 2003 を初めて使う方に参考になる情報や、プロジェクトマネジメントを促進するツールを紹介 |
|
|
|
|
品質には、次の3つの保証があります
(1) 成果物そのものを保証する
たとえばテストによって要求仕様を満足することを確認することなどがあります。
目視やダブルプログラミング、二重入力で成果物を確認する方法もこれに入ります。
(2) 品質プロセスを保証する
ソフトウェア開発の各プロセスにおいて“不具合”が産み出されない仕組みを構築しそれを保証すること
です。成果物そのものを保証する行為もプロセスの一部と考えられるのでこれを含む考えもあります。
(3) 品質システムを保証する
品質プロセスのマネジメント・システムの質を保証することです。
品質は作りこむものであるために、時には“不具合”をも作りこむこともあります。
さらに外部環境の変化により折角構築した品質システムも劣化します。
そのため、品質システムをいかに計画的に改善できるかが重要になります。
上記のそれぞれについて、複数のの具体的な手法・考え方が提案されていますが、企業が定めた「達成すべき品質目標(最低限のライン)」を実現するために、企業の持つ事業資産(人的、物的)と、上記の3つの保証手段をどのように組み合わせれば良いかということを検討します。
なお、「成果物そのものを保証する」方法のみに頼っているケースが多くの企業で見られますが、これは達成のためのコストが高くなり、改善が反映されないという重大な問題を含んでいます。
また、注意したいのは、アンダースペックも問題ですが、決してオーバースペックにならないことです。企業の実態はそれぞれ異なるものですし、品質のレベルは上へ近づけば近づほどコストがかかる性質があります。
ポイント
・「品質保証のプロセス」の理解
・企業実態の把握
・「達成すべき品質目標(最低限のライン)」の設定 |
|
|
|
|
|
重要インフラ情報システムの信頼性向上の取組みガイドブック 独立行政法人 情報処理推進機構、2011年3月31日
〜情報システムの信頼性管理に必要な組織内の役割分担と活動の枠組み〜
IPA/SECでは、重要インフラを運営する事業者(以下、重要インフラ事業者)を主な対象とし、情報システム、その中でも特にソフトウェアについて、その信頼性を確保するための取組みについての知見を収集・整理するために、2008年度からの3年間、「重要インフラ情報システム信頼性研究会」を組織し活動を行ってきました。 本ガイドブックは、その活動の集大成として公表するものです。
|
「高信頼化ソフトウェアのための開発手法ガイドブック」の公開 独立行政法人 情報処理推進機構、2009年9月15日
〜高品質なソフトウェアの実現に向けた手法・技法と7社の事例紹介〜
事例に基づく予防と検証の提案およびユーザ・ベンダ7社の取り組み事例を紹介するガイドブック「高信頼化ソフトウェアのための開発手法ガイドブック−予防と検証の事例を中心に−」を、2010年9月15日からIPAのWebサイトで公開しました。
|
ASP・SaaS事業者が医療情報を 取り扱う際の安全管理に関する ガイドライン (案) 総務省、2009年5月20日
総務省では、医療情報がASP・SaaSによって適正かつ安全に取り扱われ、医療情報におけるASP・SaaSの利用の適切な促進を図るための「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」を策定しましたので、平成21年5月19日から同年6月18日までの間、広く国民の皆様から以下のとおり意見を募集いたします。
|
SaaS向けSLAガイドライン METI-経済産業省
経済産業省では、新しいサービス形態であるSaaSにおいて、サービス利用者が安心して利用するために、利用者とSaaS提供者間で認識すべきサービスレベル項目や確認事項等について検討を行い、「SaaS向けSLAガイドライン」の策定を行ってきました。この度、パブリックコメントの結果を踏まえ、同ガイドラインを策定いたしましたのでその内容を公表いたします。
|
民間向けITシステムのSLAガイドライン(第三版) 社団法人 電子情報技術産業協会(略称:JEITA)
本ガイドラインが民間業界におけるITシステムの共通なコミュニケーションツールのひとつとして更に広く各方面で活用されて行くことを期待しています。
|
情報システムの信頼性向上に関するガイドライン第2版(案) 経済産業省、2008年9月30日
経済産業省では、より一層の信頼性向上の取組に向けて、平成18年6月15日に策定した「情報システムの信頼性向上に関するガイドライン」の見直しを検討してまいりました。この度、その内容がまとまったことから、信頼性ガイドラインの改正を行うこととしました。つきましては、広く国民の皆様から御意見をいただきたく、以下の要領で意見の募集をいたします。忌憚のない御意見を下さいますようお願い申し上げます。
|
情報システムの信頼性向上に関する評価指標(試行版) 経済産業省、2007年4月13日
「情報システムの信頼性向上に関するガイドライン」を受けて、当該ガイドラインの遵守度合いを測る評価指標の検討を行ってきました。この度、本検討結果を踏まえ、「情報システムの信頼性向上に関する評価指標(試行版)」を策定いたしましたのでその内容を公表いたします。
|
情報システムの信頼性向上に関するガイドライン 経済産業省、2006年6月15日
情報システム障害の社会的影響が日々、深刻化してきていることを受け、「情報システムの信頼性向上に関するガイドライン」の検討を行ってきました。この度、案に対するパブリックコメントの結果を踏まえ、同ガイドラインを策定いたしましたのでその内容を公表いたします。
|
工業標準化法に係る「電磁的方法による保存をする場合に確保するよう努めなければならない基準 厚生労働省、農林水産省、経済産業省、国土交通省省、2005年3月30日
|
情報セキュリティポリシー・サンプル0.92a版 NPO日本セキュリティネットワーク協会
JNSAのポリシーWG(ワーキンググループ)ではポリシー・サンプル(0.92版) を作成し、ソフトバンク パブリッシングの月刊誌である「N+I
NETWORK Guide」の2002年6月号から翌1月号までの全8回の連載記事を執筆し、ポリシー・サンプル解説書にしました。
|
システム監査基準、システム管理基準 経済産業省、2004年10月8日
情報技術の浸透や技術革新の影響により、企業経営におけるIT投資の目的が、単なる現場の合理化から経営そのものの革新へと大きく変化しつつある中、経済産業省においては、国際的な最新動向も踏まえつつ、昭和60年に策定した「システム監査基準」を改訂し、新たな「システム管理基準」及び「システム監査基準」を策定しました。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
GAMP(Good Automated Manufacturing Practice)フォーラムは、欧州の製薬企業、設備・機械メーカーなど企業や業界を超えて、CSVへの合理的な取り組みを検討する団体として設立されました。
発祥は英国ですが、今日では国際的な製薬団体であるISPE(国際製薬技術協会)の技術委員会となり、FDAと最も近い団体といわれるほど、グローバルな活動をしています。
なかでも「GAMPガイドライン」は、英国MCA(Medicine Control Agency:英国医薬品庁)の参加やFDAのレビュを受けるなど、国際的なCSVガイドラインとなっています。
GAMP(自動化製造実践規範)ガイダンスは1980 年代後半から医薬品製造における自動化システムのバリデーションの重要性の高まりを受け、1995
年3 月に第一版が電子版で公開されました。また、「ASTM E2500」(医薬品・バイオ医薬品を製造するシステム・機器の利用、設計および実証のための標準ガイド)
と整合させています。日本では、ISPE日本本部 GAMP Japanフォーラムが中心となって普及啓蒙活動をしています。
CSVのガイドとしては、2001年に発表された「GAMP4」が良く利用されますが、GAMP5が2008年2月に正式発表されました。GAMPはもともと自動化システム向けのものとして考えられたものであるため、業務系システムに適用するには、言葉の定義などしっくりしない点が見受けられられましたが、GAMP5ではこれらも改善され使いやすいものとなっています。 |
|
|
|
GAMP5 “GAMP5 A Risk-Based Approach to Compliant GxP Comuterlized Systems”(コンピュータ化システムのGxP適合へのリスクベースアプローチ)
GAMP5は、ICH Q8/Q9/Q10、ASTM E2500 といったグローバル規制やガイドラインとの協調を図り、またより科学的なリスクマネジメントをベースとしたものになっています。 |
|
|
|
主要コンセプト
・品質マネージメントシステム(QMS)に従ったライフサイクルアプローチ
・スケーラブルなライフサイクル活動
・製品とプロセスの理解
・サイエンスベースの品質リスクマネジメント
・サプライヤ(供給者)参画の梃入れ |
|
|
|
ライフサイクルのフェーズ
|
|
|
|
ソフトウェアカテゴリー |
|
・Category1 基盤ソフトウェア(OS、ミドルウェア、DB管理、等)
・Category2 廃止
・Category3 構成/設定なしのソフトウェア(初期設定のままの構成設定可能ソフトを含む)
・Category4 構成/設定されたソフトウェア(業務プロセスを満足するよう設定されたもの)
・Category5 カスタムソフトウェア |
|
|
|
カテゴリー別のアプローチ |
|
Category4 構成/設定されたソフトウェア
|
|
|
|
GAMP4
GAMP4はコンピュータやプロセス制御システム等の適格性評価やバリデーション技術を実践する実用的な規範ガイドとして、FDAをはじめ世界中の規制当局やヘルスケア産業において広く使われています。 |
|
ソフトウェアカテゴリー、ハードウェアカテゴリー
GAMP4はソフトウェアとハードウェアをそれぞれ以下のカテゴリーに分類しています。
カテゴリーの数字が大きいほど、バリデーションの要求が高度になっています。
ソフトウェアカテゴリー
・Category1 Operating Systems
・Category2 Firmware
・Category3 Standard Sofoware Pakages
・Category4 Configurable Softawre Pakages
・Category5 Custum Software
ハードウェアカテゴリー
・Category1 Standard Hardware Components
・Category2 Custum Built Haerdware Components
|
ライフサイクルアクティビティとドキュメンテーション
GAMP4はソフトウェアライフサイクル(ソフトウェアの企画から廃棄まで)におけるアクティビティ(作業)とドキュメンテーションを以下のように定めています。
|
1.管理
・Project Document Management
・Project Change Control
・Project Traceablity Matrix
・Project Configuration Management
・Design Review and Continued Risk
Asesessment
|
4.適格性試験(品質保証)
・Installations Qualifications(IQ)
・Operational Qualifications(OQ)
・Process Qualifications(PQ)☆
・Validation Report(VR) |
|
2.計画☆
・Validation Plan(VP)
・Vendor Prelimirary Assessment
・Risk Assessment + Clitical Parameters
・User Requirements Specifications(URS)
・Specifications Approval
・Supplier Detained Assessment |
5.運用・保守☆
・Change Control
・Service Level Agreement(SLA)
・Periodic Review
・Performance Monitoring
・System Security
・Record Retention
・Backup And Recovery
・Business Continuity Planning
|
|
3.設計・制作・テスト
・省略 |
6.廃棄☆
・Retirement
☆ User Responsibility |
|
|
|
|
|
ワンポイントアドバイス by BPPonline |
|
(1)管理・計画
要求の取りまとめをした、URS(User Requirement Specification)を作成します。URSには、多くの場合に機能レベルでのリスク管理をおこなうFRA(Functional
Risk Assessment)を含めます。
製品選定ではURSに基づいて RFP(Request for Proposal)を作成します。導入するシステム(とくにパッケージ部分)の規制対応について調査する責務は発注側にあるため、ソフトウェア・ベンダーはユーザーの査察を受けることがあります。
導入プロジェクト初期においては、バリデーション計画書を作成します。バリデーションに必要な組織や期間、必要な文書の定義などを行い、プロジェクトとしての品質保証計画を作成します。また、プロジェクトの途中で変更が生じた場合の手続きを文書化(Change Control Plan)する必要があります。
(2)設計・制作・テスト
製品選定後、設計をおこなってDesign Specificationsを作成します。同時に、URSを実現するための仕様として、FS(Functional
Specifications(ソフトウェア))およびTS(Technical specifications(ハードウェア))が作成されます。
システムの導入にあたり、テスト仕様書を作成してテストをおこない、テストの結果報告書を作成します。
(3)適格性試験(品質保証)
この段階では、品質保証のためのテストをおこないます。TSに対してはIQ(InstallationQualification、FSに対してはOQ(Operation Qualification)、URSに対してはPQ(Performance Qualification)を実施します。
(4)運用・保守
システムの運用にあたっては、SOPとして標準とする業務プロセスを文書化しておく必要があります。SOPに基づいて、導入されたシステムに関する教育をおこなう必要があります。教育に関する文書としては、トレーニング・プラン、カリキュラム、教育記録などがあります。
(5)システム移行
システムの移行にあたっては、とくにデータの正確な移行を保証する必要があります。データ移行にあたっては、旧システムに蓄えられた監査証跡も含めて作業をする必要があります。また、データ移行に使用するプログラムについても、バリデーションを実施します。移行作業の実施に際しては、移行作業の手順書およびデータ移行結果報告書を作成します。
(6)システムの廃棄
全てのシステムバックアップを取得した上で、システムの廃棄を行います。 |
|
|
|
|
|
CSVを実施・推進するための規約としては、以下のものを準備します。
1.ポリシー(品質目標)
達成すべき品質目標を宣言します。
2.ドキュメンテーションに関する規定
プロセスの定義、品質マネージメント、変更管理などの規定を策定します。
3.セキュリティに関する規定
データの漏洩、改竄、バックアップなど、システムの保全性を担保するための方策を規定します。
4.教育・訓練に関する規定
教育計画、カリキュラム、教育記録などを規定します。
5.ベンダー評価に関する規定
品質を保証する責務は発注側にあるため、ベンダーの品質保証体制、組織・体制などについて
調査します。 |
|
|
|
|
|
最近は外部業者が設置したシステムをASPとして利用するケースが増えています。この場合、特に以下の点に留意する必要があります。
・システム機能について
システムに求める要件が正しく機能していることを事前に確認しておく
・セキュリティについて
システムやデータがどのように保持されるのかを事前に把握しておく
・システム運用について
データの保存、バックアップ、リカバリーなどの手順(手続き)を事前に把握しておく |
|
|
|
|
|
|
|
|
|
|
|
|