コンピュータソフトウェア保証(CSA)解説(2/2)
(前回の続き)FDAから2022年9月13日に“CSAガイダンス”(医療機器のコンピュータソフトウェア保証に関するFDAガイダンスドラフト版が発出されました。時代はいよいよ”コンピュータソフトウェア保証“に突入します。 本ガイダンスは2022年9月13日ドラフト版が発行され11月14日までコメント収集中です。
4.テストにおけるFDAのCSAアプローチ
CSAアプローチには柔軟性があります。テストはリスクレベルに基づいており、アドホックテスト※ (要約ドキュメントのみが必要)から、厳格なスクリプトテスト(詳細な記録作成)まで様々です。
業界での対応例
以下は正式なFDA文書ではありませんが、業界が提示したCSAの要求に対する対応の例となります。
対応にはクリティカルシンキングをベースに、使⽤するソフトウェアアプリケーションに伴うリスクを評価するための構造化された⽅法がとられています。
リスク評価には、患者または製品へのリスク、品質システム、テスト方法のアプリケーションへの影響が含まれます。この情報をソフトウェアの実装⽅法と組み合わせることで、リスク評価を定義し、決定することができます。
CSAの応用例
どのようなシステムがリスクレートのどれに該当するか一例を以下に示します。
- 教育記録:記録としては必要だがバリデーションは不要 機能はアドホックで確認 (リスクレート1)
- ERP:特定の機能が製品品質に影響する場合はその部分は限定的にテスト (リスクレート4)
- MES、LIMS:製品品質に直接かつ影響が強いので厳格なテスト (リスクレート5)
文書化について
文書自体が必要であることはGMP、QMSで変わりませんがその内容についてはリスクに対応した内容でよいということになります。
5.CSAの実行プロセス
パラダイムシフトを起点としたCSAの実行プロセスをまとめると以下のようになります。
使⽤⽬的を特定する
新しいCSAアプローチは、コンピュータの使⽤⽬的を特定することから始まります。これは要求を明確にする基本です。
このためにクリティカルシンキングを行います。
リスクベースのアプローチを決定する
製品の安全性、製品の品質、または品質システムの完全性に直接影響を与える⾃動化機能、操作または機能を特定します。
これらの特定された機能や操作のもつリスクを判断し評価します。
これらの作業により、適切なソフトウェアの保証アクティビティを確立します。
サプライヤを活用する
CSAで重要な活動の一つはサプライヤの作成文書やテストなどを活用することです。中リスクおよび低リスクの分野において、これらの厳密な作業がほとんど、または全く必要とされない場合、特に合理化の効果が高くなります。
ポイントとして下記が挙げられます。
- サプライヤを評価し、対象プロセスの管理にその品質活動を活用する
- 作成プログラムの検証に自動化されたツールを活用する
- テスト方法としてリスクレベルに応じてAD-hocとスクリプト化されていないテストを使用する
- IT技術を活用し、データ完全性を考慮した電子的データ取得とレコード作成を実施する
- サプライヤからの継続的なデータと情報を活用して、監視を実施し、ソフトウェア品質保証を維持する
6.CSAガイダンス発行と具体的活動
正式版の発行時期は現在のところ不明です。対象は米国です。医薬品も適用が認められています。FDAはCSAベースの活動をガイダンス正式発効前に実施することを認めており、いくつかの企業がすでに活動を開始しています。但しガイダンスはあくまでも基本概念を示すもので具体的な対応方法については企業が作成することとされています。
7.対応方法
ガイダンスの内容を実行するには具体的な方法論・基準・手順を作成する必要があります。
ドラフト版は医療機器のガイダンスであるので現状では医療機器(デバイス)を医薬品と読み替える必要があります。
企業としての意識改革と不安払拭が必要です。
SOPなど既存のものを大幅に見直す必要がある可能性があります。
サプライヤは客先のバリデーション要求に対応したソフトウェア開発を実施するため確固たるソフトウェア品質保証の体制を実現しそれを維持する必要があります。
8.まとめ
バリデーションにおいてどのような文書を作るかではなくどのような検証(テスト)をするかというのがCSAの趣旨といえます。結論として、コンピュータアプリケーションのリスクが高い分野では、従来同様、多くのドキュメントとテストが必要になると言えます。しかしリスクの低い分野では、資料作成やテストなどにおいて不必要と判断される活動に無駄な労力を消費する必要はなくなります。
CSAの考え方はバリデーションを否定するものではなく視点を変えて合理化しようとするものです。従来の文書化中心とは異なるため、対応に最初、業界は戸惑うかもしれません。しかし本質的に重要な活動に資源を集中し、IT技術の効率的な利用、有効化を実現できるといった観点から医療機器だけでなく医薬品においても将来は広く普及していく可能性があると思われます。なおCSAガイダンスの作成に協力しているGAMPはクリティカルシンキング、開発モデルの追記、テストに関する内容の修正などを反映したGAMP5 2nd Edition※ を2022年7月に発行しています。
※英語版のみ、翻訳版の発行は未定。
9.医療機器と日本の対応
日本では医療機器にはISO13485:2016版、およびこれに引用されるIEC TR80002をもとに医療機器QMSができており、これによる医療機器の製造、運用及び品質システム構築用ソフトウェアのバリデーションが要求されています。