FDA規制産業におけるGxP: 複雑な良好実践基準への準拠

GxPとは何か？

組織のデジタル資産を壊滅的なサイバー攻撃から守ることは、これまで以上に複雑になっています。さらに圧倒されるのは、組織が遵守しなければならないコンプライアンス規制や基準の増加です。HIPAA、GDPR、GLBA、PCI DSS、NIST、SOXといった頭字語は、セキュリティとコンプライアンスの専門家にとってはおなじみですが、製薬、化粧品、食品加工などの業界では、GxPという頭字語がますます重要になっています。

GxPの「x」はプレースホルダーで、他の頭文字は「Good Practice（良い実践）」を意味します。食品や健康製品の開発と流通のさまざまな側面に関するGood Practice要件は、米国食品医薬品局（FDA）が食品・医薬品・化粧品法および公衆衛生サービス法を通じて維持しています。

しかし、これらの分野の多くの製造業者はグローバルであるため、企業がビジネスを行う可能性のある欧州連合、日本、その他の地域からの指令を含む、やや広範な要件に責任を負っています。

なぜGxPコンプライアンスが重要なのか？

GxPコンプライアンスは、医薬品や医療機器などの特定の製品の品質、安全性、有効性を確保するための重要な実践です。これは、製品が関連する規制や基準に従って適切に開発、試験、製造されていることを保証します。GxPコンプライアンスは、製品の品質と安全性を確保することで、個人の健康や生命、さらには環境に直接影響を与える可能性のある製品から公衆を保護するのに役立ちます。また、GxPコンプライアンスは、コストのかかる恥ずかしいリコール、評判の損傷、潜在的な刑事および民事罰など、製品製造の不備によるその他の結果を回避するのにも役立ちます。GxPコンプライアンスを遵守することで、企業は消費者、従業員、自社のビジネスを保護することができます。

GxPの影響を受けるのは誰か？

GxPは、医薬品および医療製品の製造業者とその顧客の両方に影響を与えます。GxPは、製造業者が医療製品の生産、管理、保管、流通に関連するすべての活動がGxP規制に準拠していることを保証する責任を負うことを義務付けています。これには、原材料の試験、プロセスの文書化、品質チェックの実施、製造プロセスに関与する人員の訓練が含まれます。病院や薬局などの顧客も、製造業者から購入する医療製品がGxPの品質基準を満たしていることを確認する必要があるため、GxPの影響を受けます。

さらに、GxPガイドラインと規制は、製薬、バイオテクノロジー、医療機器業界に関与するすべての人員に適用されます。これには、品質保証担当者、科学者、エンジニア、技術者が含まれ、製品開発のすべての段階がGxP規制に準拠し、FDA規制に従っていることを保証する責任があります。

最後に、GxPは、製薬および医療機器会社から安全性と有効性の研究を依頼される契約研究機関（CRO）にも適用されます。CROは、規制当局に提出されるすべてのデータが高品質で正確であることを保証するために、GxPガイドラインと規制に準拠しなければなりません。

具体的なGxP基準には以下が含まれます：

• Current Good Manufacturing Practice (CGMP): FDA規制製品の「製造、加工、包装に使用される方法、施設、および管理」に関する基準。これらの要件は、人間および動物用の医薬品、医療機器、血液製品、食品および栄養補助食品、さらには動物飼料にまで及びます。
• Good Clinical Practice (GCP):医薬品、生物製品、医療機器の臨床試験に関する規制。
• Good Laboratory Practice (GLP):非臨床試験に関する基準。
• Good Distribution Practice (GDP):サプライチェーン全体で医薬品の品質と完全性を確保するための卸売業者向け要件。
• Good Quality Practice (GQP):医薬品品質システム（PQS）の枠組み内でCGMPを適用。日本の厚生労働省（MHLW）は、省令第136号でGQPを管理しており、これは世界的な標準となっています。
• Good Pharmacovigilance Practice (GVP):医薬品の継続的な安全性監視のためのベストプラクティス。

新興バイオテクノロジーにおけるGxPコンプライアンス

新興バイオテクノロジーにおけるGxPコンプライアンスは、新しいバイオテクノロジーの研究、開発、製造、試験を管理する国際的に認められた原則と基準のセットです。これは、製品が安全かつ倫理的に生産、試験、流通されることを保証するために設計されています。これには、製品の製造、品質管理、流通に関する厳格な管理、ならびに人員の訓練、品質管理、記録保持に関する適切な文書化と管理が含まれます。GxPコンプライアンスは、新しいバイオテクノロジーの安全性と有効性を確保し、公衆の健康を保護するために不可欠です。

GxPの重要なコンテンツ要件

ご覧のとおり、GxPの要件は膨大で混乱を招くものです。参照できる単一のルールセットは存在せず、組織は米国での要件をまとめる際にほぼ独力で行う必要があります。ましてや、ビジネスを行う可能性のある他の管轄区域の要件を追加することは言うまでもありません。他の規制や基準とは異なり、GxP監査人というものは存在せず、GxPコンプライアンスの真の専門家は比較的少ないです。

しかし、GxPにおける「x」が何を表しているかにかかわらず、GxPの文字と精神に準拠するためには、機密コンテンツの保護が最も重要です。これには、いくつかの角度が関与します：

1. 電子記録要件：クローズドシステムのための管理。 FDA CFR パート11は、GxP実践に関与するすべてのデジタルデータとコンテンツに影響を与える電子記録と電子署名の基準を設定しています。この規制は以下の技術管理を要求します：

• システムの検証により、正確性、信頼性、一貫した意図された性能、および無効または変更された記録を識別する能力を確保する
• 人間が読める形式と電子形式で正確で完全なコピーを生成する能力
• 記録の保護により、正確で迅速な取得を可能にする
• 許可された個人にのみシステムアクセスを制限するシステムアクセスの制限
• すべてのバージョンに対する安全でタイムスタンプ付きの監査トレイル

Kiteworksは、コンプライアンスと認証の成果を長いリストで誇っています。

この規制はまた、以下の文書化されたプロセスを要求します：

• 適切にポリシーを施行するための運用システムチェック
• 許可された個人のみが文書を閲覧、変更、または署名できることを保証するための権限チェック
• データ入力のソースの有効性を判断するためのデバイスチェック
• 電子文書システムを管理する者が適切な訓練を受けていることの検証
• 電子署名の下で開始された行動に対して個人を責任を持たせる書面によるポリシー
• システム運用と保守のための文書の配布、アクセス、および使用に対する管理
• システム文書の時間順の開発と変更を文書化する監査トレイルを維持するための改訂と変更管理手順

電子署名には以下が含まれている必要があります：

• 署名者の印刷された名前
• 署名が実行された日付と時刻
• 署名に関連する意味（例：レビュー、承認、責任、著作）

2. Good Documentation Practices (GDocP)。 他のGxP要件と同様に、Good Documentation Practices (GDocP)を列挙する単一の権威ある文書は存在しません。

   これらの要件は、他のGxP基準の文書や過去の違反で引用された事例法の中に散在しています。しかし、名前が示すように、文書化に関しては一般的に受け入れられているベストプラクティスが必要です。これは、すべての企業が一般的なリスク管理の一環として行うべきことです。

   GDocPの重要な要素の一つは、記録保持のための標準作業手順書（SOP）の確立です。これはISO 9001:2015の認証に必要であり、米国の処方薬マーケティング法（PDMA）などの法律に準拠するために重要です。この法律は、損なわれた、期限切れの、偽造された薬の販売を禁止しています。これを回避するには、詳細な記録保持が必要です。

   記録保持SOPのためのGDocPガイドラインには以下が含まれます：

   • 文書の作成は、記述するイベントと同時に行われる必要があり、手書きは許可されず、読みやすい側注を除いて、正確性が確認され、エラーがないことが求められます。
   • 文書の承認は、許可された人物のみが実行し、物理的または電子的な署名と日付が必要です。
   • 手書きの記入は消えないインクで行う必要があります。手書きの記入が予想される場合はスペースを空け、手書きの記入のために空けられたスペースは空白にしてはいけません（記入が必要ない場合は「N/A」を使用する必要があります）。
   • 文書の保守は定期的に行われ、文書は指定された期間維持され、文書管理システムは検証され、電子記録はバックアップされます。
   • 文書の修正は、手書きまたは電子的であっても慎重に管理される必要があります。廃止された文書の使用を防ぐ手順が整備され、すべてのバージョンに対して監査トレイルが維持されるべきです。

3. ALCOA+。 結局のところ、GxPとGDocPの複雑なパッチワークは、ALCOA+の原則に帰着します。 このフレームワークは、さまざまな業界や多くの政府および準政府機関での可視性と採用が増加しています。

   元のALCOAの頭字語は、データを安全に保つための基本的な5つの要素をカバーしていました：

   • Attributable（帰属可能）：作成者と貢献者は明確に識別され、バージョン管理は不正な変更から保護されるべきです。
   • Legible（読みやすい）：文書は視覚的に読みやすく、言語的に明確であるべきです。
   • Contemporaneous（同時性）：文書が作成された時期が明確であり、システムは継続的な同時記録保持をサポートするべきです。
   • Original（オリジナル）：オリジナルのコピーは後のファクシミリではなく保持されるべきです。
   • Accurate（正確）：文書は最新で事実に基づいて正確であるべきです。

   その後、他の重要な特性が追加され、フレームワークはALCOA+と改名されました。追加された概念は、コンテンツが以下のようであるべきということです：

   • Complete（完全）：監査トレイルはデータが削除されていないことを示すべきです。
   • Consistent（一貫性）：タイムスタンプと日付スタンプは、コンテンツが適切にまとめられたことを確認するべきです。
   • Enduring（持続性）：コンテンツは規制が要求する期間以上に保持されるべきであり、それが記録されている機器はそのライフサイクルを満たすのに十分な耐久性を持つべきです。
   • Available（利用可能）：データは必要な権限を持つ者がアクセスできるべきであり、監査人や後の作業に情報を提供する必要がある内部ユーザーがアクセスできるべきです。

GxPリスク評価とは何か？

GxPリスク評価は、組織がGood Manufacturing Practice（GMP）、Good Distribution Practice（GDP）、Good Clinical Practice（GCP）に関連する潜在的なリスクを特定し、監視するために使用するプロセスです。この評価は、組織のプロセスと実践がGxPコンプライアンスの規制と基準に準拠していることを保証するのに役立ちます。評価は、組織の運営とプロセスのさまざまな側面（訓練、設備、材料、記録など）を分析し、それらがGxP規制に準拠しているかどうかを判断します。

また、組織の日常業務に関連する潜在的なリスクを調査し、潜在的な不遵守を特定します。この評価は、ビジネスの中断を最小限に抑え、財務的損失を最小限に抑え、製品の品質と安全性を維持するために、潜在的なリスクを特定し、軽減するための包括的かつ体系的なアプローチです。

KiteworksがGxPの重要なコンテンツ要件を達成するのにどのように役立つか

ほとんどの組織では、プライベートコンテンツがさまざまな外部ユーザーと複数の通信チャネルを通じて共有されています。

内部および外部の人々とプライベートコンテンツを共有する際、ユーザーは摩擦を最小限に抑える通信チャネルを使用する傾向があります。これはしばしばメール添付ですが、ファイル共有、マネージドファイル転送（MFT）、およびコラボレーションツールも含まれます。これにより、コンテンツの共有を追跡することが非常に困難になり、ましてや安全にすることはできず、組織のセキュリティ保護とGxPコンプライアンスに大きなギャップを生じさせます。

Kiteworksによる最近の調査はこの問題を強調しています。2022年の機密コンテンツ通信プライバシーとコンプライアンスレポートによると、62%の組織が第三者との機密データ通信を追跡、制御、保護するために4つ以上のシステムを使用しています。そして、組織の半数以上（51%）が、そのような通信に関連するリスクを測定する技術とプロセスを欠いており、そのリスクを軽減することは言うまでもありません。

このプライベートコンテンツ通信チャネルのパッチワークは、GxPを含む多くの基準に準拠する際に管理不能な複雑さを生み出します。GxPに準拠しようとする組織は、強固なサイバーセキュリティリスク管理アプローチとベンダーリスク管理戦略を開発し、サプライチェーンでのデータ侵害を軽減する必要があります。Kiteworksは、プライベートコンテンツネットワーク（PCN）を作成することで、顧客がデータの整合性を達成し、GxP要件に準拠するのを支援します。

PCNは、すべてのGxP関連コンテンツの共有を1つのプラットフォームで統一します。PCNは、すべての通信チャネル（メール、ファイル共有プラットフォーム、MFT、ウェブフォーム、API）と記録システム（研究ツール、CRM、ERP、EMR、コラボレーションツール）を統一します。

PCNは、すべてのプライベートコンテンツタイプをすべての外部ユーザー（サプライヤー、会計士、規制当局、投資家、パートナー、法律顧問）と共有し、組織の広範なサードパーティリスク管理（TPRM）戦略と統合される必要があります。PCNは、オンプレミス、ベンダーによるホスティング、またはハイブリッドクラウドでのホスティングに対応している必要があります。

Kiteworks PCNは、以下の要素に準拠していることを組織が示すことを可能にします：

1. 電子記録要件
   • システムの検証
   • 正確で完全なコピーの生成
   • 記録の保護
   • システムアクセスの制限
   • 安全でタイムスタンプ付きの監査トレイル

2. Good Documentation Practices (GDocP)
   • 文書作成に関する記録保持：タイミング、正確性の確認、エラーの排除
   • 文書承認の記録
   • 文書管理システムのライフサイクル全体の文書保守と検証
   • 文書修正、バージョン管理、廃止バージョンの監査トレイル

3. ALCOA+
   • すべてのコンテンツ共有のための共通PCNにおけるALCOA+のすべての要素の文書化

データの整合性を達成する

食品や健康製品の開発と生産は重要なビジネスであり、これらの「良い実践」をすべて達成することは、公衆の安全と商業的な実行可能性の両方にとって不可欠です。製薬会社の場合、サイバー攻撃が大幅に増加しています。

その理由の一つは、第三者の機密コンテンツ通信のガバナンスとリスク管理の大幅な改善が必要であることです。例えば、37%の製薬会社が新しいアプローチまたは大幅な改善が必要であると示しています。リスクは確かに存在します。最近の調査によると、製薬業界でのデータ侵害と漏洩は、4年間（2018年〜2021年）で59%の侵害と76%の総露出が、期間の最後の2年間に発生しました。

市場に出る可能性のある典型的な薬が10年間で$26億の費用がかかることを考えると、安全でないプライベートコンテンツ通信の実践でその投資を無駄にすることは許されません。

組織は、GxPのすべての側面に準拠するためにさまざまな行動を取る必要があります。しかし、コンテンツに関しては、KiteworksはGxP要件に非常に迅速に準拠するのを支援できます。これにより、開発、製造、流通プロセスのすべてのステップに関連する機密コンテンツによってもたらされる無数のリスクを回避できます。

今日、こちらをクリックして、組織のためのKiteworksデモをリクエストしてください。