Skip to main content
ガイド·17分で読める·

21 CFR第11部と材料証明書:コンプライアンス要件の説明

クイックアンサー

Quick Answer

21 CFR第11部は、FDA規制製造に使用される電子記録(材料試験証明書を含む)が、真正性、完全性および機密性に関する特定の標準を満たす必要があることを要求しています。材料証明書の場合、これはコンプライアント電子署名、すべてのレコード修正に関する監査跡、アクセス制御および検証済みシステムを意味します。非コンプライアンスはFDA検査中に規制上のリスクをもたらします。

組織が医薬品またはバイオテクノロジー製造のための機器を製造する場合(圧力容器、バイオリアクター、配管システム、プロセス機器)、顧客はFDA監視下で運営されています。この監視は機器供給者のドキュメンテーション慣行に拡大し、特に材料記録がバッチ記録または機器適格性パッケージに組み込まれるときに該当します。

21 CFR第11部が材料証明書管理システムに適用される場合を理解することは、オプションではありません。FDA規制サプライチェーンに入るすべての品質文書をキャプチャ、保存、承認、および送信する方法に影響します。


21 CFR第11部とは何ですか?

連邦規制集第21編第11部(Title 21 of the Code of Federal Regulations, Part 11)は、電子記録および電子署名が紙の記録および手書きの署名と同等と見なされる条件を規定するFDA規制です。

これは1997年に、紙ベースの品質システムから電子システムへの移行を促進するために導入されました。しかし、電子記録が改ざん、偽造、または誤った帰属から保護されることを確認するための厳しい要件を適用します。

21 CFR第11部は以下の場合に適用されます:

  • 他のFDA規制(例えば、21 CFR 210/211部のcGMP)によって記録が要求される
  • 組織が紙の代わりに電子記録を使用することを選択する

医薬品機器製造における材料証明書管理については、証明書が規制製造業者のドキュメンテーションシステムの一部として電子的に保管および署名される場合、規制が関連してきます。


どの材料証明書レコードが21 CFR第11部の影響を受けますか?

システムのすべての証明書が第11部の対象となるわけではありません。以下の場合のみです:

  1. 他のFDA規制によって要求されるレコード ——例えば、21 CFR 211部(医薬品の現在の適正製造規範)に基づいて運営されている施設で使用される機器の材料トレーサビリティレコード

  2. 顧客の品質システムに組み込まれたレコード ——MTCまたはCoAがデバイス履歴レコード(DHR)、バッチ製造レコード(BMR)、または機器適格性(IQ/OQ/PQ)パッケージの一部になる場合

  3. 規制環境で電子署名されたレコード ——品質マネージャーまたは権限のある承認者が電子的に証明書に署名し、その署名が文書記録である場合

医薬品施設における標準的な構造または非プロセス接触適用に対する材料証明書は、第11部をトリガーしない可能性があります。ただし、圧力保持コンポーネント、製品接触表面、および検証されたプロセスで使用される機器の場合、質問に明確に対処する必要があります。


証明書管理システムの21 CFR第11部の主要要件

電子レコード(§11.10)

アクセス制御(§11.10(d)): システムは、権限を持つユーザーのみへのアクセスを制限する必要があります。証明書管理の場合、これは役割ベースの権限を意味します——誰が、どの証明書レコードを作成、修正、承認、および表示できるか——は、アプリケーションレベルで強制され、共有認証情報に依存しません。

監査跡(§11.10(e)): システムは、コンピュータで生成された日付/時刻スタンプ付き監査跡を生成する必要があります。この跡は、エントリが作成、修正、または削除されたときを記録します。元のエントリを保持する必要があります。この要件は、承認された証明書の遡及的編集(例えば、化学値の変更)が、追跡可能な変更の記録を作成せずに行われないことを意味します。

記録ライフサイクル全体にわたるレコード完全性と可読性(§11.10(b)): レコードは、必要な保有期間全体を通じて、人間が読める形式で検索可能である必要があります。製品ライフサイクルが20年以上の医薬品機器の場合、これはシステムおよびストレージフォーマットが期間全体を通じてアクセス可能である必要があることを意味します。

運用システムチェック(§11.10(f)): システムは順序付けを強制する必要があります——承認は受信に先立つことはできず、2次承認者は1次レビューが完了する前に署名することはできません。

権限チェック(§11.10(g)): 権限を持つ個人のみが、その役割に利用可能なシステム機能を使用できます。ジュニア検査官は、品質マネージャー承認を実行する能力を持つべきではありません。

電子署名(§11.50、§11.100、§11.200)

証明書が電子的に署名された場合:

  • 各電子署名は個人に固有である必要があり、再使用または再割り当てされてはいけません
  • 署名されたレコードには、署名者のフルネーム、日付と時刻、および署名の意味(例えば、「品質マネージャーに承認されました」)が表示される必要があります
  • 署名には、少なくとも2つの異なる識別コンポーネント(通常はユーザー名/パスワード)、または単一のバイオメトリックコンポーネントが必要です
  • 電子署名は、対応するレコードにリンクされる必要があります——それらは、コピーされ、抽出され、他のレコードに誤って適用されることはできません

非バイオメトリック電子署名(§11.200(a)): 少なくとも2つの異なる識別コンポーネントを使用する必要があります。一般的な実装:承認者はセッションごとに1回ログイン(認証)し、署名時にパスワードを再入力します(2番目のコンポーネントとして再認証)。


システム検証要件

21 CFR第11部は、GAMPフレームワーク下でのコンピュータシステム検証(CSV)に関するFDAガイダンスとペアリングされることが多いです。証明書管理ソフトウェアは、意図された機能を一貫して実行することを実証するために検証される必要があります。

証明書管理システムの場合、検証には通常以下が含まれます:

  • インストール適格性(IQ) ——システムが正しくインストールされ、既知の構成にあります
  • 操作適格性(OQ) ——システムが必要なすべての機能(承認ワークフロー、監査跡、アクセス制御)を正しく実行します
  • 性能適格性(PQ) ——システムが実際の運用条件で一貫して実行されます

ベンダーが提供する検証パッケージは、組織の検証責任を排除しませんが、作業量を大幅に削減します。規制環境向けの証明書管理ソフトウェアを評価するときは、具体的に検証ドキュメントパッケージ(IQ/OQ/PQテンプレート、リスク評価、テストスクリプト)を要求してください。


証明書承認ワークフローへの実際的な影響

医薬品製造に供給する製造業者の場合、第11部コンプライアンスは、いくつかの具体的な方法で証明書承認ワークフローを変更します:

標準的な実践第11部の要件
メール承認(「問題なさそう」)非コンプライアント——一意なIDなし、レコードにタイムスタンプなし
承認のための共有ログイン非コンプライアント——署名は個人に固有である必要があります
拒否された証明書の上書き非コンプライアント——元のレコードを保持する必要があります
共有ドライブ上のPDFアクセス制御と監査跡が文書化されている場合、コンプライアント可能
スキャンされた紙の署名紙のレコードではコンプライアント。スキャン済みの場合、スキャンは電子レコード完全性要件を満たす必要があります

証明書管理ソフトウェアベンダーに尋ねるべきこと

  1. すべてのレコード作成、修正、削除に対してコンピュータ生成の監査跡を生成しますか?
  2. 監査跡レコードは、管理者を含むユーザーによる修正から保護されていますか?
  3. 電子署名メカニズムは、2つの異なる識別コンポーネントを必要としていますか?
  4. システムは検証されており、検証パッケージは利用可能ですか?
  5. 構成可能な権限レベルを持つロールベースアクセスをシステムがサポートしていますか?
  6. 20年以上のアクセス性を必要とするレコードの保有をシステムはどのように処理しますか?

TestCertは、これらの要件を念頭に置いて設計されています——コンプライアント電子署名、不変の監査跡、ロールベースのアクセス制御、および規制環境での検証活動をサポートするドキュメンテーションを提供します。


21 CFR第11部は、医薬品企業に販売するすべての製造業者に適用されますか?

自動ではありません。第11部はFDA規制によって必要とされるレコードに適用されます。証明書が規制レコードの一部になった場合——機器適格性、バッチレコード、またはデバイス履歴レコードに組み込まれた場合——適用可能な要件はシステムに流れます。医薬品顧客の品質契約は、通常、供給者に期待されるコンプライアンスを指定します。これらの要件を慎重に確認し、システムのコンプライアンス態勢を証明するレコードを保管してください。

Adobe Acrobatで署名されたPDF証明書は21 CFR第11部に十分ですか?

Adobe証明書ベースのデジタル署名を含むPDFは、署名インフラストラクチャが一意性、否認防止、およびレコードへのリンケージに関する第11部要件を満たす場合、コンプライアント可能です。ただし、より広いシステム要件——証明書ライフサイクル全体の監査跡、アクセス制御、保有——も周囲のワークフローによって満たされる必要があります。PDF署名単体では、コンプライアントなレコード管理システムがない限り、一般的には不十分です。

FDA規制に基づく材料証明書の保有期間はどのくらいですか?

FDA指定の材料証明書の単一保有期間はありません。保有要件は、レコードを必要とする特定の規制から生じます。21 CFR第211部に基づいて、バッチレコードは医薬品バッチの有効期限から少なくとも1年後、またはFDAバッチ承認から1年後に保有されなければなりません。機器適格性レコードの場合、多くの組織は機器の生涯に規制期間を加えたものを適用します。特定の状況については、品質チームと法的助言者に相談してください。

第11部要件は、供給者から受け取った証明書、またはのみ自社のレコードに適用されますか?

第11部は、組織のレコードシステムに適用されます。供給者から証明書を受け取り、レコードに組み込む場合——スキャン、アップロード、または承認ワークフローでの参照——システムのレコードがFDA監視を受ける場合、第11部に準拠する必要があります。供給者の元の発行システムは、供給者のコンプライアンスの懸念事項です。貴社の摂取とストレージシステムは、貴社の懸念事項です。

21 CFR第11部とEU GMP附属書11の違いは何ですか?

両者とも医薬品製造における電子レコードと署名を規制していますが、異なる管轄区域に適用されます。21 CFR第11部は米国FDA規制です。EU GMP附属書11は、欧州連合のGMP規制製造で使用されるコンピュータシステムを対象とします。多くの原則を共有しています——監査跡、アクセス制御、検証——ただし、特定の技術要件と実装アプローチは異なります。両方の市場に供給する組織は、両方のフレームワークに対処する必要があります。

Ready to automate your certificate workflow?

Try TestCert free

関連ガイド