最新動向/市場予測

欧州医薬品庁がコンピュータ化システムガイドラインを公開

【第177号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2023年3月7日、欧州医薬品庁(EMA)のGCP査察官作業部会(GCP IWG)は、「臨床試験におけるコンピュータ化システムと電子データに関するガイドライン」最終版を採択し、同月10日に公開しました。

第177号 2023.4.5公開

GCP IWGは、2021年6月18日に同草案を公開し、パブリックコメントを募集していました(募集期間:2021年12月17日まで)。本ガイドラインは、「臨床試験における電子ソースデータおよび電子データ収集ツールに転写されるデータへの期待に関するレフレクションペーパー」(2010年6月9日採択)に替わるものであり、最終版公開後6ヶ月以内に発効される予定です。

本ガイドラインは以下のような構成になっています。

  1. イントロダクション
  2. スコープ
  3. 法的・規制的背景
  4. 重要概念の原則と定義
  5. コンピュータ化システム
  6. 電子データ

附表1. 契約

附表2. コンピュータ化システムバリデーション

附表3. ユーザー管理

附表4. セキュリティ

附表5. 特定のシステムに関連する追加的考慮事項

附表6. 臨床システム

このうち、「6. 電子データ」についてみると、以下のような構成になっています。

6.1 データの取込みとロケーション

6.1.1 紙から電子フォーマットへの変換

6.1.2 電子ソースからの転送

6.1.3 直接のデータ取込み

6.1.4 編集チェック

6.2 監査証跡と監査証跡のレビュー

6.2.1 監査証跡

6.2.2 監査証跡のレビュー

6.3 データのサインオフ

6.4 データのコピー

6.5 認証済コピー

6.6 データの制御

6.7 クラウドソリューション

6.8 データのバックアップ

6.9 緊急時対応計画

6.10 データ移行

6.11 アーカイブ化

6.12 データベースの破壊

2022年1月31日に適用開始となったEU臨床試験規則では、臨床試験に係るマスターファイルの保存期間を最低限25年と定めており、それに準拠したデータライフサイクル管理策が要求されます。

また、「附表4. セキュリティ」についてみると、以下のような構成になっています。

A4.1  継続的なセキュリティ対策

A4.2  物理的セキュリティ

A4.3  ファイアウォール

A4.4  脆弱性管理

A4.5  プラットフォーム管理

A4.6  双方向デバイス

A4.7  ウイルス対策ソフトウェア

A4.8  ペネトレーションテスト

A4.9  侵入検知・防止

A4.10 内部活動モニタリング

A4.11 セキュリティインシデント管理

A4.12 認証手法

A4.13 遠隔認証

A4.14 パスワードマネージャー

A4.15 パスワードのポリシー

A4.16 パスワードの機密性

A4.17 非アクティブログアウト

A4.18 遠隔接続

A4.19 不正なバックエンド変更に対する保護

なお、EMAは、2020年12月9日、サイバー攻撃に起因するインシデントを公表しており、その後の調査で、新型コロナウイルス感染症(COVID-19)向け医薬品・ワクチンに関連するサードパーティの文書への不正アクセスがあったことを報告しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・欧州市場展開を前提とした医薬品に係る国際共同臨床試験に参加する医療機関は、臨床試験依頼者や臨床試験責任医師と連携しながら、EU臨床試験規則および本コンピュータ化システムガイドライン特有の要求事項に対応したデータライフサイクル管理体制を構築・運用しておく必要がある。特に、臨床試験に係るマスターファイルの保存期間が最低25年となるので、クラウド型データストレージやデータ損失防止ソリューションを利用する際には、留意する必要がある。
 

医療品メーカー

・欧州市場展開を前提とする新薬の臨床開発業務を行う医薬品メーカーは、GDPRのプライバシー要求事項やEMAの「EudraVigilance」システムのセキュリティ要求事項に加えて、本コンピュータ化システムガイドラインの要求事項に準拠した、中長期的なデータライフサイクル管理体制を構築・運用しておく必要がある。

 

医療機器メーカー

・欧州市場展開を前提とした医療機器と医薬品のコンビネーション製品の臨床開発業務を行う医療機器メーカーは、GDPRのプライバシー要求事項や医療機器規則(MDR)のサイバーセキュリティ要求事項に加えて、臨床試験規則および本コンピュータ化システムガイドラインの要求事項に対応したデータライフサイクル管理体制を構築・運用しておく必要がある。

 

サプライヤー

・欧州市場展開を前提とした医薬品および医薬品・医療機器のコンビネーション製品向けに臨床開発業務支援ソリューションを開発・提供するITベンダーは、GDPRのプライバシー要求事項や臨床試験規則のセキュリティ要求事項に加えて、本コンピュータ化システムガイドラインに対応した電子文書、バックアップストレージ、アーカイブ、データ損失防止(DLP)対策などの統合的ガバナンス・リスク・コンプライアンス管理機能を構築・強化したソリューションを提供する必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?