ER/ES指針は、厚生労働省から発出された「電磁的記録(Electronic Records)」及び「電子署名(Electronic Signatures)」の利用に関する指針であり、主に製薬・医療機器業界のデータインテグリティ確保において、世界的な基準と連携した重要な内容となっています。
GxP(※)領域の業務では、文書や記録などのデータの真正性を担保しなければなりません。一方で実務の現場では、「電子署名としてどのような署名内容が有効なのか分からない」「監査証跡にどんな情報を残せばよいか分からない」、といった悩みを抱えていないでしょうか。
※GxP:GMP・GLP・GCP・GVP・GQPなど、医薬品等の品質・安全性を確保するための各種「適正基準(Good x Practice)」の総称。
そこで実務担当者としては、どのような背景でER/ES指針が存在し、業務の課題にどう対応すればよいか、そのポイントと対策を理解しておくことが重要です。本記事ではER/ES指針の基本から、ALCOA+原則との関係、電子署名・監査証跡の主な機能、そして実務課題を解決するためのポイントまでを順に解説します。
- ER/ES指針の全体像と、信頼性を支える3要素(真正性・見読性・保存性)
- データインテグリティの基準「ALCOA+原則」とER/ES指針の関係
- 電子署名と監査証跡に求められる機能と、その両者が果たす役割
- 実務でつまずきやすい課題と、その具体的な対応ポイント
ER/ES指針とは - 日本における電子記録・電子署名の規制
まずは「ER/ES指針(※)」とはどのようなものかを知るために、その概要と求められる3要素を解説します。その上で、ER/ES指針と関係の深い「監査証跡」の概要と関係性を見ていきます。
※正式名称:医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について
ER/ES指針の概要
ER/ES指針は、日本において医薬品等の申請資料・原資料に電磁的記録や電子署名を利用する際の要件を示した指針です。米国の21 CFR Part 11と共通する考え方も多く、GxP領域で電子記録・電子署名を扱う際の重要な基準として参照されています。
ER/ES指針では「誰が、いつ、何をして、なぜ修正したか」という内容の信頼性を、システム的に保証することが重要とされています。この電子的な情報管理の信頼性を保証するための根幹となるのが、次に紹介する「真正性」「見読性」「保存性」の3要素です。
なお、これら3要素は独立しているのではなく、相互に依存しています。たとえば、真正性がなければ、見読できるデータも「偽物」である可能性があります。また、保存性がなければ、将来的に見読することも、過去の真正性を証明することもできません。
| 要素 | 内容と求められること |
|---|---|
| 真正性 Authenticity | そのデータが本物であり、改ざんやなりすましがないことを証明する要素。3要素の中で最も重要で、システム的な対策が強く求められる部分です。作成責任者が明確であり、承認・発行された後は、適切な手続き以外で書き換えや消去が行われないことが求められます。 |
| 見読性 Legibility | 必要なときに、人間が内容を正しく理解できる形式で提示できること。電子記録の内容を、ディスプレイ表示や紙への印刷によって、肉眼で明瞭に確認できる状態にすることが求められます。 |
| 保存性 Archivability | 定められた保存期間中、データの完全な状態を維持し続けること。法令で定められた期間(例:製品の有効期限+1年など)にわたり、真正性・見読性を損なうことなく安全に保管し続けることが求められます。 |
監査証跡との関係
監査証跡とは、いわば「データの履歴書」です。製薬・医薬品業界などの厳格な規制環境下では、データの信頼性を守るための証拠となり、データが不正に書き換えられていないことを証明するための「証跡」が必要不可欠です。ER/ES指針の要件を満たすためには、電子記録/電子署名が「どのようなプロセスを経て導き出されたか」を説明できることが重要となります。ここでは、主な3つのポイントを解説します。
操作履歴の記録
操作履歴の記録は、監査証跡の最も基本的かつ重要な機能です。単に「ログを取る」だけでなく、後からその時の状況を完全に再現できるように記録される必要があります。
- Who(誰が):操作を行ったユーザーID。
- When(いつ):ネットワーク同期された標準時計に基づく正確な日時(タイムスタンプ)。
- What(何を):データの作成、閲覧、編集、削除などの具体的なアクション。
- Why(なぜ):データを修正した場合などの理由(規制要件下では必須)。
変更箇所の特定
単に「データを更新した」という記録だけでは不十分です。監査証跡では、具体的に「何が、どう変わったか」を正確に特定できる必要があります。
- 修正前の内容(原本)と修正後の内容をセットで記録します。これにより、誤操作や不正な書き換えがあった際に、どの項目が変更されたのかを一目で確認できます。
- 複数の変更が行われた場合でも、その履歴を時系列で辿ることで、最終的なデータに至るまでのすべての変遷を追跡できます。
不正アクセスの検知
監査証跡は、過去を振り返るだけでなく、現在進行形の脅威を検知する「監視カメラ」の役割も果たします。
- 連続したログイン失敗(パスワードの総当たり攻撃など)や、通常とは異なる時間帯・場所(IPアドレス)からのアクセスをログとして記録します。
- 一般ユーザーが管理権限を必要とする操作を行おうとした履歴や、管理者による不自然なログの閲覧・エクスポートなどを記録します。
データインテグリティの基本要件「ALCOA+原則」
ER/ES指針が最終的に目指すのは「データの信頼性の確保」です。この信頼性を考える上で基盤となる概念が「データインテグリティ」です。ここでは、その概要を解説しながら、ER/ES指針との密接な関係性を紐解いていきます。
ALCOA+原則とは
データインテグリティとは、簡単に言えば「データがそのライフサイクル(作成から廃棄まで)を通じて、完全で、一貫性があり、正確であることの証明」を指します。特に、製薬・医療機器業界などのGxP領域では、データが改ざんされておらず信頼できることが、患者の安全性や製品の品質を保証する絶対的な条件となります。
このデータインテグリティを具体的に確保する基準として世界的に使われているのが「ALCOA原則」です。基本の5要素(ALCOA)に、さらに重要な4要素を加えたものを「ALCOA+原則」と呼びます。なお規制当局によって重視する範囲が異なり、FDA(米国食品医薬品局)は基本のALCOAを、EMA(欧州医薬品庁)はさらに4要素(完全性・一貫性・耐久性・必要時の有用性)を加えた範囲を求めています。
| ALCOA(基本の5要素) | 内容 |
|---|---|
| A:Attributable(帰属性) | データの所有者・帰属・責任が明確であること。 |
| L:Legible(判読性) | データが判読でき、理解できること。 |
| C:Contemporaneous(同時性) | データの生成と記録が同時であること。 |
| O:Original(原本性) | データが原本であり、複製や転記ではないこと。 |
| A:Accurate(正確性) | データが正確で、エラーなく記録されていること。 |
| さらに重要な4要素(ALCOA+) | 内容 |
|---|---|
| Complete(完全性) | すべてのデータが揃っていて、事象を再現できる記録があること。 |
| Consistent(一貫性) | 記録に矛盾がないこと。 |
| Enduring(永続性/耐久性) | 定められた保存期間中、消えずに残っていること。 |
| Available(可用性/必要時の有用性) | 監査の際など、必要なときに利用できること。 |
ER/ES指針との関係
データインテグリティが「データが信頼できる状態であること(=目的)」を指すのに対し、ER/ES指針は「電子記録におけるデータの信頼性を確保するための具体的なルール(=手段)を定めたものです。
言い換えると、ER/ES指針の3要素(真正性・見読性・保存性)は、ALCOA+原則という「あるべき姿」を、日本の規制のもとで実現するための具体的な手段と位置づけられます。両者の対応イメージは次のとおりです。
| ER/ES指針の3要素 | 対応するALCOA+の考え方 |
|---|---|
| 真正性 | Attributable(帰属性)・Original(原本性)・Accurate(正確性)・Contemporaneous(同時性)。「誰の・本物の・正確な・その場で記録された」データであることを担保します。 |
| 見読性 | Legible(判読性)・Available(必要時の有用性)。古い形式で保存されていても、必要なときに人がディスプレイ表示や紙出力で内容を読み、理解できる状態を保ちます。 |
| 保存性 | Enduring(永続性)・Complete(完全性)・Consistent(一貫性)。保存期間を通じて、改ざんされず・欠落や矛盾なく、見読性を維持したままデータが残り続ける手段を求めます。 |
規制で求められる要件の全体像
ここまでの考え方を、実際の規制要件として整理すると次のようになります。ER/ES指針が電磁的記録に求める要件と、電子署名に求める要件を一覧で押さえておくと、自社のシステムに何が必要かを判断しやすくなります。
電磁的記録に求められる要件
| 要件区分 | 主な項目と概要 |
|---|---|
| 真正性 | セキュリティ:システム・サーバ等の管理者と管理手順を規定し、業務内容に応じたユーザー権限(ID)を設定する。 作成者の識別(監査証跡):保存情報の作成・変更者を監査証跡で自動記録し、変更時は変更前の情報を保持する。 バックアップ:データのバックアップ/リカバリ手順を規定し、実施する。 |
| 見読性 | 書面と同等の読みやすさ・意味の分かりやすさで出力できること。 |
| 保存性 | データの保存性を確保する手順を文書化し、実施すること。 |
| 管理方法(共通) | システム管理と運用:システム機能と運用手順により、真正性・見読性・保存性を確立する。 CSV:コンピュータ化システムバリデーションにより、システムの信頼性を確保する。 その他:運用体制(責任者・管理者・組織)と、利用者へのトレーニング(方法・時期・記録)を整備する。 |
電子署名に求められる要件 - 電子署名法とER/ES指針
電子署名には、まず「電子署名法」が本人性・非改ざん性を求め、その上でER/ES指針が運用・記録の明示を求める、という二段構えの要件があります。
| 求められる内容 |
|---|
| 電子署名法(本人性・非改ざん性の担保) |
| 電子署名を行った者が誰であるかを示せること(本人性の担保)。 |
| 情報の改変が行われていないか確認できること(非改ざん性)。 |
| 電子署名は、本人により行われたときのみ成立すること。 |
| ER/ES指針(運用と記録の明示) |
| 電子署名を行う際の運用・手順を文書化すること。 |
| 署名者の氏名・署名の日時・署名の意味(=監査証跡)が明示されること(システム機能と運用が必要)。 |
| 電磁的記録と電子署名が削除・コピーできないこと(元の文書に電子署名が追加される形)。 |
| 手書き署名または捺印と同等の署名であること。デジタル署名は電子証明書の発行を伴い、本人性を電子的に証明する。 |
電子証明書は第三者機関(認証局)による審査・取得を伴う。
実務面での課題
データインテグリティという大きな目標を、「電子システム」を使ってどう具体化するか示したのがER/ES指針だと言えます。しかし、電子システムを利用したGxP領域の実務面では、いかにしてデータの信頼性を守るか、という点で様々な課題があります。皆さんも、同じような悩みを抱えていないでしょうか?
改ざん防止の難しさ
電子データは紙と異なり、上書きや削除の痕跡が残りにくいという課題があります。たとえば、データベースに直接アクセスできる権限を持つ人が、誤って、あるいは故意に、ログを残さずデータを操作できてしまう恐れがあります。また、製造データや試験記録の日付や時刻をバックデートさせず、記録の「同時性」を担保しなければなりません。
本人確認の罠
本来、データを扱う本人専用のID/パスワードが用意されるべきですが、IDの使いまわしや「なりすまし」により、本人が操作したかどうか分からなくなってしまいます。また、紙の物理的なハンコと異なり、電子システムではボタン一つで署名が完了するため、署名者が「その内容の責任を負う」という意識が希薄になりやすく、役割に関係なく署名してしまう恐れがあります。
監査証跡記録の欠如
データを作成する際に「誰が、いつ、何を、なぜ(変更理由)」記録したかその履歴を残す「監査証跡」によって、データの信頼性を担保しなければなりません。ところが、基本的な電子署名・電子文書管理システムでは、そもそも監査証跡機能が備わっていなかったり、扱うデータを「誰が」承認するのかといった機能がなかったりするケースがあります。さらに、監査証跡や署名は正しく読み取れる状態を維持しなければなりませんが、その仕組みがないケースもあります。
電子署名と監査証跡に求められる機能
ER/ES指針に対応するため、電子システムにおける電子署名と監査証跡には、どのような機能が求められるのでしょうか。ここでは、それぞれに求められる主な機能を紹介した上で、両機能が果たす共通の目標について見ていきます。
電子署名に求められる主な機能
ER/ES指針における電子署名のポイントは「データの信頼性の確保」であり、それを具現化する機能が必要です。電子署名が「紙の署名や捺印」と同等の信頼性を持つために、システムが備えるべき主な機能は次のとおりです。
署名の構成
署名が行われた際、単なる「名前」だけでなく、次の情報を記録し、文書と切り離せない状態で保存する機能です。
- 署名者の氏名:誰が署名したか。
- 実行日時:いつ署名したか(システムの信頼できるタイムスタンプ)。
- 署名の意味:なぜ署名したか(作成・審査・承認など)。
署名者と署名の紐付け
電子署名が、特定の個人と一意に関連付けられていることを担保する機能です。
- ユーザーIDとパスワード、あるいは生体認証などを組み合わせ、署名を行う者が本人であることを確認します。
- 署名が他人に使い回されることがなく、署名者本人の管理下にのみあることを保証します。
監査証跡に求められる機能
電子署名と同様に、ER/ES指針における監査証跡は「データの信頼性を担保する」ことが求められ、電子署名を裏付けるログをいかに残すかが重要になります。単にログを残すだけでなく、意味のあるログを記録するためにシステムが備えるべき主な機能は次の通りです。
入力内容の自動記録機能
操作者が意識することなく、システムが裏側で自動的に記録します。
- データの作成、変更、削除が行われた瞬間に、その内容をリアルタイムで記録します。
- いつ(日時)、誰が(ユーザーID)、何を(操作内容)、どのような理由で署名したかを記録します。
削除・改ざん防止機能
監査証跡そのものが書き換えられたり、消去されたりしないようにするための機能です。
- 監査証跡自体を、管理者であっても修正や削除ができない設定とします。
- 正しい日付・日時での署名となるよう、署名日時を操作者が自由に変更できないようにタイムスタンプを付与します。
見読性の確保
電子署名と監査証跡に共通する機能として、画面表示や紙への印刷の際に、「誰が・いつ署名したか」、そしてその裏付けとなる監査証跡のログが、読める・理解できる内容になっていることを確認できる機能が必要になります。
データの信頼性を担保する両機能の意味
ER/ES指針におけるデータの信頼性の担保、すなわちデータインテグリティの担保は、「誰がその内容を確定させたか(電子署名)」と、「その確定に至るまで、あるいはその後に何が行われたか(監査証跡)」を組み合わせることで、初めて実現できます。
電子署名が行われると、その事実自体が「監査証跡」の一部として自動的に記録されます。監査証跡は、いつ・誰が・どのような理由で署名をしたかという「署名イベントのログ」を保持し、署名が正当なプロセスで行われたことをシステムログ側からも証明する役割を果たします。
また、電子署名は「署名した時点の内容」を確定する役割を持ちますが、その後に変更が加えられた場合は、監査証跡がその詳細を残します。署名後にデータが修正された場合、電子署名は「無効」となり、監査証跡には「誰が署名済みのデータを修正したか」という事実が残ります。これは、後から「署名後に不適切な変更が加えられていないかどうか」を確認するための重要な証拠となります。
このように、電子署名の正当性を裏付ける客観的な証拠が監査証跡である、という関係になります。これを踏まえ、電子署名と監査証跡の機能は、必ずセットで検討することが重要です。
規制対応と実務課題への対応ポイント
ER/ES指針に対応しながら、GxP領域の実務課題をクリアするには、電子システムならではの対策ポイントを知る必要があります。ここでは具体的な対応ポイントと、その一助となる「GMOサイン証跡管理DX」の活用ポイントを紹介します。
実務課題への対応ポイント
ER/ES指針に対応しながらGxP業務で電子署名と監査証跡の取得を進めるためには、データの信頼性を確保したシステム機能が実務課題をクリアできるかを考えて導入を検討しなければなりません。どのようなポイントで対策すれば良いか、3つの視点で紹介します。
- 本人確認できる仕組み:電子署名を行う本人を特定できるよう、本人専用のID/パスワードを発行することが基本です。そのIDで本人がどんな役割で署名したか分かるように署名情報を記録し、誰が・いつ署名したかという監査証跡をセットで残すことが重要です。
- 改ざん防止のためのセキュリティ対策:電子署名の日付・時刻のバックデートを防ぎ、監査証跡が削除されないよう、システム的に操作できない「ユーザーとアクセス権」の制御を行うことがポイントです。誤操作の場合でも操作記録や時刻が残り、後から「改ざんされていないこと」を確認できるようにすることも大切です。
- 客観的な証跡を残し保管する:監査証跡はデータ作成の履歴書です。電子署名時の証拠として、誰が見ても分かる内容を記録し、いつでも確認できる機能を用意することが重要です。加えて、GxP省令で規定された保存期間(例:規定期間+数年)を経ても、監査証跡のデータが壊れずに保管され続けることも大切なポイントです。
GMOサイン証跡管理DXの活用 - 21 CFR Part 11 および ER/ES指針対応を支援するツール
前述の実務課題への対応ポイントを踏まえ、電子署名・監査証跡機能を支援するツールとして「GMOサイン証跡管理DX」をどのように活用できるかを見ていきます。実務課題と対応ポイント、そして同サービスの機能を対応づけると次の通りです。
| 実務課題 | 対応のポイント | GMOサイン証跡管理DXでの対応 |
|---|---|---|
| 本人確認 (なりすまし防止) | 本人専用ID/パスワードを発行し、誰が・どの役割で署名したかを記録。 署名と監査証跡をセットで残す。 | メールアドレス+パスワードに加え、パスコード/アクセスコード/PINによる二要素認証。 認証局の審査を経た電子証明書で本人性を担保 管理者によるユーザーのアクセス制御・権限設定、IPアドレス制限・メールドメイン制限。 |
| 改ざん防止 (同時性の確保) | バックデートや監査証跡の削除をシステム的に防止。 誤操作も記録に残し、後から「改ざんがないこと」を確認できるようにする。 | タイムスタンプで記録時刻と、それ以降の非改ざんを証明。 署名途中・完成した文書は変更不可。 監査証跡は管理者であっても修正・削除できない仕組み。 |
| 客観的な証跡の保管 (見読性・保存性) | 誰が見ても分かる証跡を記録し、いつでも確認可能に。 規定の保存期間を通じてデータが壊れず保管される。 | 「誰が・いつ・どの理由で」署名したかを自動記録・表示・保管(署名理由の選択が可能)。 Adobe Readerの署名パネルで検証できるPDFとして出力(見読性)。 LTV(長期検証可能)対応で10年以上の長期保存に対応。クラウド+お客様保存のバックアップ。 |
このように、「GMOサイン証跡管理DX」は法規制に対応しつつ、GxP環境下における電子署名・監査証跡の実務運用に要素に対応しており、現業務に当てはめることができます。これにより業務を運用しながら、文書の電子化や業務効率化の一助となります。
▼FDA「21 CFR Part 11」など国際規則要件にも対応!詳細はこちら
GMOサイン 証跡管理DX 特設ページを見る
まとめ
ER/ES指針への対応は、企業におけるデータインテグリティを満たすための「手段」であり、本質的には「データの信頼性を証明する仕組み作り」が重要です。この仕組み作りを通じて、患者へ安心・安全な医薬品や医療機器を製造・供給することが、企業本来の使命を果たすことにつながります。
ER/ES指針で求められる要件や実務課題への対応方法の一つとして、「GMOサイン証跡管理DX」のような支援ツールを上手く取り入れていきましょう。
