GxP環境下にある現場担当者や品質管理担当者にとって、データインテグリティの維持は日常の責務ですが、近年その要求水準はより高度化し、単なる「記録の保管」では通用しなくなっています。とくに「監査証跡が形骸化していないか」「ALCOA＋原則に基づきデータの真実性が担保されているか」が厳格に問われています。

これらへの対応がおざなりになると、品質・安全管理に関わる電子文書の信頼性が失われ、企業の信頼失墜に直結する重大リスクが発生します。そこで本記事では、データインテグリティの基本から電子記録・電子署名への対応、そして法的対応での視点を踏まえた実効性の高い監査証跡管理のポイントを解説します。

データインテグリティの概要

監査証跡を理解する上でまず押さえておきたいのがデータインテグリティです。そこでデータインテグリティの概要と求められる背景を解説します。そしてデータインテグリティの肝となる「ALCOA＋原則」について解説します。

データインテグリティとは

データインテグリティとは、データの「完全性」「一貫性」「正確性」が、作成から廃棄までのライフサイクル全体にわたって維持されている状態のことです。特に製薬・医薬品業界のGMP（適正製造基準）において不可欠な概念であり、データ改ざんや欠損を防ぎ、信頼性の高い記録を保証することで患者の安全を守る目的があります。データインテグリティの主な特徴は以下の3つです。

データインテグリティの強化が求められる背景とは

前述したデータインテグリティですが、なぜ今その対策と強化が求められているのでしょうか？

1つ目は安全性の確保が求められる点です。製薬・医薬品メーカーにおける度重なる不正確なデータ検出の事案により実際に健康被害につながり、製品回収に関わるコストの発生だけでなく、社会的な信頼失墜がニュースでも取り上げられています。そのためデータの信頼性の証明は必須となっています。

2つ目は規制対応です。FDA（アメリカ食品医薬品局）やEMA（欧州医薬品庁）などの規制当局からガイドラインが出されており、特に米国FDAにおける2024年度から2025年度のトレンドを見てみると、2025年7月から12月のわずか約6ヶ月間で327件のWarning Letter（警告書）が発行され、これは前年同期比で73%の増加です。その中でも、データインテグリティに関する内容は大きな割合（半数以上とされる統計が多い）を占めており（※1）、特に「監査証跡の欠如」「共有IDの使用」「データの書き換え」が頻出し、対策が急務となっています（※2）。そのため、査察が強化される傾向にあり、データインテグリティの不備件数も増加している状況にあります（※3）。

これらのデータインテグリティの不備は、「今後改善します」という約束だけでは不十分であり、具体的な根本原因分析と修正証拠がない限り、Warning Letterに発展するケースが増えています。それでは、私たちはデータインテグリティに対応するために、どのような要件を満たせば良いのでしょうか？

※1 Reed Smith LLP “FDA inspections in 2025: Heightened rigor, data-driven targeting, and increased surveillance” 
※2 FDA Warning Letters 2025: Trends, violations, and how to avoid them 
※3 The FDA Warning Letter Report for Fiscal Year 2025

データインテグリティの基本要件「ALCOA＋原則」

データインテグリティに対応するための基本要件について、FDAやMHRA（イギリスの医薬品・医療製品規制庁）などの規制当局から基準となるガイダンスが発表されており、「ALCOA原則」または拡張した「ALCOA＋原則」を満たしていることが必須条件とされています。これはデータの信頼性を確保するための世界共通の指針であり、以下の内容となります。

Attributable（帰属性）

「誰が」作成したか。 個別のID・パスワードでログインし、署名することで、操作者を一意に特定できること。

Legible（判読性）

「誰でも読める」か。 保存期間中、人間が内容を明瞭に理解でき、監査証跡（修正履歴）も含めて確認できること。

Contemporaneous（同時性）

「その場で」記録したか。 作業と同時に記録されること。電子システムでは自動タイムスタンプがこの役割を果たします。

Original（原本性）

「生データ」か。 最初に記録された媒体（またはその真正なコピー）であること。修正前の初期値が残っていることも含まれます。

Accurate（正確性）

「事実に即している」か。 誤記や改ざんがなく、校正されたシステムで正しく測定されていること。修正には理由が必要です。

Complete（網羅性）

全てのデータが欠落なく揃っていること。例えば、「失敗した試験結果」を捨てて「成功した結果」だけを残すことは、網羅性の欠如とみなされます。

Consistent（一貫性）

データの前後関係や作成順序に矛盾がないこと。監査証跡のタイムスタンプが、作業プロセスの順序と一致している必要があります。

Enduring（永続性）

規定の保存期間中、劣化せずに記録が保持されること。色あせる感熱紙や、読み取れなくなる古い記録メディア（フロッピー等）の管理が問われます。

Available（利用可能性）

必要な時にいつでも閲覧・抽出できること。査察官から「3年前の〇〇の記録を見せてください」と言われた際、即座に提示できる状態を指します。

「ALCOA＋原則」の要件を満たすことは一見すると簡単なように見えます。しかし、実際には「この記録から、当時の現場の状況を100%再現できるか？」という視点でチェックするとなると、そのデータの信頼性がシステム的にも、運用上の仕組みとしても必要十分に機能していなければなりません。

もし証跡が不十分なら、たとえ実験記録や製造記録自体が正しくても「そのデータは存在しない（信頼できない）」と判断されてしまいます。それでは、監査証跡を考えていく上で、データインテグリティと電子記録・電子署名との関わりも重要になるため、次節で解説していきます。

電子記録・電子署名と監査証跡

監査証跡を考えていく上で、電子記録・電子署名との関わりも重要になります。特に、日本におけるER/ES指針とその要件を理解しておくことが重要です。その上で、監査証跡がどういうものか、どのような記録を残すのか、記録を残すための機能はどのようなものかについて解説します。 

電子記録・電子署名とは

電子記録・電子署名の規制とは、医薬品の承認申請、製造管理、品質管理において使用される「電子的な記録」と「電子的な署名」が、従来の紙と手書き署名と同等の信頼性を有するための要件を定めたものです。まずは、主なガイドラインについてみていきましょう。

米国：FDA 21 CFR Part 11

1997年に施行された最も歴史のある世界標準の規制です。電子記録を紙の記録と同等に扱うための要件(アクセス制限、監査証跡、署名の厳格化など)を定め、世界中の製薬企業に影響を与えています。

日本：ER/ES指針

厚生労働省が2005年に出した「医薬品等の承認申請等における電子記録及び電子署名の利用」に関する指針です。Part 11と概ね整合しており、日本の薬機法に基づき、真正性・見読性・保存性の3要件を求めています。

欧州：EU GMP Annex 11

EMAによるGMP指針の一部で、コンピュータ化システムに特化した要件です。技術的な要件だけでなく、リスク管理やバリデーションなど、運用のプロセス(ライフサイクル管理)を重視する特徴があります。

電子記録・電子署名の規制では「誰が、いつ、何をして、なぜ署名したか」という内容の信頼性を、システム的に保証することが重要とされています。この信頼性を担保するための根幹となるのが、以下に紹介する「真正性」「見読性」「保存性」の3要素です。これら3要素は独立しているのではなく、相互に依存しています。例えば、真正性がなければ、見読できるデータも「偽物」の可能性があります。また、保存性がなければ、将来的に見読することも、過去の真正性を証明することもできません。

真正性(Authenticity)

「そのデータが本物であり、改ざんやなりすましがないこと」を証明する要素です。3要素の中で最も重要かつ、システム的な対策が求められる部分です。作成責任者が明確であり、承認・発行された後、適切な手続き以外で書き換えや消去が行われないことが求められます。

見読性(Legibility)

「必要な時に、人間が内容を正しく理解できる形式で提示できること」を指します。電子記録の内容を、ディスプレイへの表示や紙への印刷によって、肉眼で明瞭に確認できる状態にすることが求められます。

保存性(Archivability)

「定められた保存期間中、データの完全な状態を維持し続けること」を指します。定法令で定められた期間（例：製品の有効期限＋1年など）、真正性・見読性を損なうことなく、安全に保管し続けることが求められます。

監査証跡とは

監査証跡は、いわば「データの履歴書」です。製薬・医薬品業界などの厳格な規制環境下では、データの信頼性を守ることが重要です。データが不正に書き換えられていないことを証明するためには、この「証跡」が不可欠となります。

事後的にデータを見た際、その内容が「どのようなプロセスを経て導き出されたか」を、客観的な証拠とともに再現・検証可能にします。これにより、意図的な改ざんや不注意による誤操作を検知し、製品の品質を保証します。

それでは前述の証拠を監査証跡に記録するにはどのような内容が必要になってくるのでしょうか？ここでは「主体・時点・理由」が記録が残され、完結していることが求められます。

電子記録では、上記の監査証跡があることで、その記録が作成から保存まで正しく管理されたことが証明されます。電子署名では、署名が行われた際のシステム状態や直前の操作を証跡として残すことで、署名の正当性を補強します。それでは、これらを満たす監査証跡の機能にはどのようなものが求められるのでしょうか？

主体・時点・理由の自動記録機能

人間が意識せずとも、システムが以下の情報をセットで記録します。

真正性を守る「保護・固定」機能

監査証跡そのものが信頼できるものにする必要があります。

見読性と検索・抽出機能

レビュー担当者が効率的に確認するための機能です。

アラート・異常検知機能

単に記録するだけでなく、リスクの高い操作を可視化します。

監査証跡における法規制対応

監査証跡を運用・管理するために、法規制に対応することが必須活動となります。監査証跡における法規制上の課題としてどのようなものがあり、どのように対応すれば良いか、そのポイントについて解説します。 

法規制上の課題

ここまで監査証跡について解説してきました。実際に、現場で対応している方にとって”今”困っていること、あるいはこれから課題と浮かび上がってくる、監査証跡の法規則対応を予め知っておくとで、これから留意すべきポイントが見えてきます。それではどのような課題があるのでしょうか？

レビューの形骸化とリソース不足

法規制では、生成された証跡を「適切な頻度でレビューすること」が求められますが、これが現場の大きな負担となっています。

1点目は膨大なログの量です。システムが自動記録するログは膨大で、その中から「意味のある異常（改ざんやミス）」を見つけ出すことは困難で時間がかかります。

2点目は専門知識の不足です。「どのログが重要か」を判断できるスキルを持つ担当者が限られており、結局「ただ目を通した（判子を押した）」だけの形骸化したレビューになりがちです。

3点目はレビュータイミングの遅れです。本来はデータ承認前に行うべきレビューが、業務の忙しさから後回しになり、不備の発見が遅れることがあります。

ログをチェックするための判断基準の不明確さ

全てのログが等しく見られることが理想ですが、現実的には全てのログを等しく見ることは難しく、どんなログを優先的に確認するか、その優先度・重要度の付け方が課題となっています。

例えば、重要なログを選定するにあたり、データの信頼性に直結する「クリティカルな操作（データの削除、再測定、設定変更など）」と、単なる「画面遷移ログ」をどう区別し、レビュー対象を絞り込むか、について判断基準を策定することに苦慮しています。

また、リスクの低いログまで全てチェック対象にしてしまい、生産性を著しく低下させているケースが見られます。

●古いシステムへの対応

電子記録・電子署名の要件を満たさない古い分析システムやシステムが現場には残っています。この場合、古いシステムには監査証跡機能自体がない、あるいは「誰が」を特定する個別ID管理ができないものがあります。また、現場で良く見られるケースとして、「電子データはあるが、修正履歴は紙のログブックに書く」といった「電子と紙による運用」です。

この運用により、作業手順の複雑さや紙媒体への転記ミスが起こるケースが発生しています。その他、システムが古いために証跡を含めた長期間のデータ保存が、古いOSや記録メディアでは保証しにくい問題を抱えています。

法規制への対応ポイント

法規制の要求事項を遵守しつつ、現場を破綻させないための取り組みには、「何でも見る」から「リスクの高いものを確実に見る」への転換が不可欠です。以下に3つの対応例を紹介します。

リスクベース・アプローチによるレビューの効率化

全ての監査証跡を一律に確認することは現実的ではないため、データの重要度に応じて「確認の深さと頻度」を変える取り組みが必要です。

• クリティカル・データの特定：製品品質や安全性に直結するデータ（例：定量値、判定結果、システムのパラメータ設定）の変更履歴を「最優先確認項目」に指定します。
• リスクがある操作の重点化：「データの削除」「再測定」「システム時刻の変更」など、改ざんや隠蔽につながりやすい操作をシステム側でフラグ立て（アラート化）し、レビュー担当者が重点的にチェックする仕組みを構築します。
• レビュー頻度の最適化: 日常的なバッチリリースごとのレビューは重要項目に絞り、システム全体の設定変更などは定期自己点検（月次・四半期など）で確認するといった強弱をつけます。

データの網羅性を担保するシステム設計

データの網羅性の欠如は、法規制対応上「意図的な隠蔽」を疑われる要因になります。これを防ぐための技術的な取り組みが必要です。

• トライアルの記録：トライアルと称した未記録の測定を排除するため、システムの電源を入れた瞬間から、全ての操作（失敗した測定を含む）が操作ログに残る設定にします。
• 監査証跡の保護：監査証跡が、対象となる生データやメタデータと論理的に紐付いて保存されるようにします。また、監査証跡だけが別ファイルで削除可能な状態にならない設定を行います。
• バックアップの検証：記録の欠落を防ぐため、監査証跡を含めたデータのバックアップが確実に行われているか、復元（リストア）が可能か定期的にテストします。

運用の形骸化を防ぐ記録・レビュー・点検方法の確立

運用の形骸化を防ぐために、以下の3つのフェーズで管理方法を確立させます。

1. 記録の残し方として、操作の背景を漏らさず記録し、修正時には新たな修正文書としての作成を強制させて修正版としての真正性を確保し、「主体・時点・理由」を自動完結させるようにします。
2. レビューのやり方として、リスクベースで不審な動きに焦点を絞り、承認者が「例外的な操作（削除等）」を抽出して確認します。
3. 定期的な自己点検において、システムログ全体を俯瞰し、運用の不備を抽出します。

ここまでの内容を現場が破綻しないように実施するためには、「システム的に自動化すること」「運用ルールとして仕組み化すること」です。いきなり全てを対応することは非現実的ですので、例えば現在お使いのシステムで「どの操作やログが最もリスクが高いか」をリストアップし、その項目だけでも確実にレビューする仕組みや、システム的な機能を整備することから始めてみると良いでしょう。

監査証跡を確実に残すポイント

監査証跡を確実に残すためには、記録の残し方やレビューのやり方、自己点検の方法を理解し実践していくことが重要です。ここでは、実務的で具体的なアクションやポイントについて解説します。 

記録の残し方

監査証跡において、単にログを「保存する」状態から、異常を「検知できる」状態にするための「記録の残し方」が重要です。ここでは4つの重要なポイントを解説します。

修正版の真正性の確保

すでに正式作成が完了したものに対して、修正を施すことは「改ざん」の扱いになります。修正するにあたっては、修正した内容で新たにデータ（文書）を作成して、それに対する作成・確認・承認のプロセスとその監査証跡を残した、修正版としての真正性を確保する必要があります。

意図的な操作の検知

「結果が合格になるように、計算条件を後からいじっていないか」という意図的な操作を検知できるように、結果だけでなく、その背景にある「設定情報と変更履歴」をセットで記録します。

削除ではなく無効化

データインテグリティの鉄則は、記録を「消さない」ことです。そのため、物理的な「削除」機能を一般ユーザーから剥奪し、誤ったデータは「無効」フラグを立てる形に設定します。これにより無効化されたデータも監査証跡上では元の値が確認できる状態で残ります。

システム時刻の同期

データの同時性を担保するため、ユーザーがPCやシステムのシステム時計を自由に変更できないようにし、管理権限をロックします。具体的には、ネットワーク上の標準時（NTPサーバ）と自動同期させ、全てのシステムで時刻の整合性を取ります。

レビューのやり方

監査証跡のレビューを効率化し、かつ「異常」を見つけ出すには、「全件チェック」から脱却し、リスクに応じた「絞り込み」が鍵となります。具体的には、以下の4つのポイントで峻別・レビューを行います。

レビューする操作内容の優先度付け

全てのログを等しく見るのではなく、データの真正性に与える影響度で以下のように優先度をつけます。

例外や修正が発生した際のフラグ付け

前述で紹介した「高リスク操作」だけを抽出したレポートをシステムから自動出力します。レビュー担当者は、この「例外」が発生した箇所のみに集中して、修正理由の妥当性を確認します。

また、修正が行われたデータにシステム上で「マーク（フラグ）」がつくように設定し、承認者が一目で「確認が必要なデータ」を識別できるようにします。

リスクに合わせたレビューの内容とタイミング

リスクの性質に合わせて、確認のタイミングを使い分けます。

具体的には、製造・試験に紐付く「高リスク操作」の有無と妥当性を確認する場合は、製造・試験の承認者（上長）が週次や月次で確認します。

システム全体の「中リスク」について、操作の傾向、権限変更の履歴、時刻同期の成否を確認する場合は、品質保証部門またはシステム管理者が確認します。

「低リスク項目」を含めた記録の連続性に不自然な点がないか、定期的な自己点検や抜き打ち点検を通じて自己点検担当者がサンプリング調査を行います。

自己点検の方法

監査証跡の運用が「ただログを残し、形骸化したチェックをするだけ」の状態に陥るのを防ぐには、実効性を担保するための3つの評価ポイントが重要になります。形骸化を防ぐためにも、前述の「記録の残し方」と「レビューのやり方」と合わせて、定期的に評価するルールを設けて自己点検します。

プロセスの評価

まず「ルール通りに判子を押しているか」ではなく、「実際に異常を見つけられる運用か」を評価します。ここで活かされるのが、修正理由の妥当性を裏付けるエビデンス（報告書や作業日誌）や、システムから出力された「高リスク操作（削除・変更等）」の抽出レポートです。これらの情報から異常を見つけられるレビューが行われているか、自己点検で確認します。

システム・権限の評価

運用を支えるシステムが、人間によって恣意的に操作されていないかを点検します。

まず「記録を作る人（作業者）」と「監査証跡の設定を変えられる人（管理者）」を明確に分け、権限も別々になっていることを確認します。また、作業者の上司に関しては、部下のミスを隠すために証跡を操作できる権限を持っていないか、確認します。

見落としやすい点として、監査証跡機能を「オフ」にした可能性や記録の有無があります。もしオフにした期間があれば、いつ、誰が、なぜオフにしたのか？その間の監査記録の妥当性に問題はないか？確認することが必要になります。

現場教育とミスが報告できる文化の評価

形骸化の根本原因である「なぜこれをやるのか」という意識の希薄化をチェックし、定期的に意識に刷り込みを行います。

具体的には、データインテグリティ、電子記録・電子署名、監査証跡に関する社内教育と理解度チェックテストを行います。教育を通じて、現場担当者が「監査証跡は自分たちを監視するものではなく、自分たちの業務の正当性を守るためのもの」であることを認識させます。

また、監査証跡レビューで見つかったミスが、現場にフィードバックされ、再発防止策や再教育につながる文化を醸成することが重要になります。

まとめ

データインテグリティの維持・対応は、ALCOA＋原則を軸とした電子記録・電子署名と監査証跡の適切な運用に集約されます。規制強化が進む中、単なる記録の保存ではなく、リスクベースのアプローチによる「生きたレビュー」と「自己点検」が不可欠となります。形式的な監査証跡の管理から脱却し、データの信頼性を自ら証明する強固な管理体制と仕組み作りを行いましょう。