データインテグリティ(ALCOA+)とは?信頼できる記録の原則
医薬品の品質は、最終的に「記録」で証明されます。どれだけ丁寧に作っても、その工程と試験の記録が信頼できなければ、規制当局も患者もその医薬品を信用できません。だからこそ、記録そのものが正しく・改ざんされていないことを保証する考え方——データインテグリティ(データの完全性・信頼性)——が、GMPの土台に置かれています。
データインテグリティとは何か
データインテグリティとは、データがそのライフサイクル全体(取得・処理・保管・廃棄)を通じて、完全で・一貫していて・正確であることを保証する状態を指します。ここでいうデータには、紙の記録、電子記録、装置の生データ、メタデータ(誰が・いつ・何をしたかの付帯情報)のすべてが含まれます。
重要なのは、これが「不正をしないこと」だけを意味するのではない点です。悪意ある改ざんはもちろん対象ですが、それ以上に多いのは設計の不備による意図しないデータ喪失や追跡不能です。装置の時刻を誰でも変えられる、権限が甘く誰でも結果を消せる、紙転記でケアレスミスが入る——こうした「仕組みの穴」を塞ぐことが実務の中心です。 データインテグリティは性善説の問題ではなく、記録の信頼性を仕組みで担保する設計の問題です。
規制側の整理としては、FDAの Data Integrity ガイダンス、MHRA(英国)の GxP Data Integrity Guidance、PIC/Sの査察員向けガイダンスが代表的で、いずれも次に述べる ALCOA+ を共通言語として採用しています。
ALCOA+ の9原則
ALCOA は、信頼できる記録が満たすべき5つの基本属性の頭文字です。これに後から4つの属性が追加され、まとめて ALCOA+(アルコア・プラス)と呼ばれます。原語と意味を一覧で整理します。
| 原則 | 原語 | 意味(記録が満たすべき状態) |
|---|---|---|
| 帰属性 | Attributable | 誰が・いつ実施したかが特定できる |
| 判読性 | Legible | 読めて、消えずに残り、後から解読できる |
| 同時性 | Contemporaneous | 作業と同時に記録する(後追い記入をしない) |
| 原本性 | Original | 原本(一次データ)または真正コピーである |
| 正確性 | Accurate | 事実と一致し、誤りや改変がない |
| 完全性 | Complete | 再試験・再処理を含め、すべてが残っている |
| 一貫性 | Consistent | 時系列・形式が矛盾なく揃っている |
| 永続性 | Enduring | 保存期間中、劣化・消失せず保持される |
| 利用可能性 | Available | 必要なとき(査察等)に取り出せる |
最初の Attributable と Contemporaneous は実務で特につまずきやすい属性です。共有IDでログインして作業すると帰属性が失われ、作業を終えてからまとめて記録すると同時性が失われます。後半に追加された Complete(完全性)は特に重要で、「合格した結果だけを残し、失敗した試験を消す」という行為を明確に禁じます——失敗データも含めてすべて残すことが、データインテグリティの肝です。 ALCOA+は抽象的な理念ではなく、記録の一行一行が満たすべきチェック項目として使える実務基準です。
ALCOA+で最も指摘が多いのは Attributable(誰がやったか)・Contemporaneous(その場で記録)・Complete(全部残す)の3点です。共有ログインの廃止、作業と同時の記録、失敗データを含めた全保管——この3つを徹底するだけで、データインテグリティ問題の大半は予防できます。
電子記録・電子署名と 21 CFR Part 11
紙の記録から電子記録へ移行するとき、その電子記録を紙と同等に信頼できるものとして扱うための要件を定めたのが、FDAの 21 CFR Part 11(電子記録・電子署名に関する規則)です。EUでは EU GMP Annex 11 が対応する位置づけになります。
Part 11が求めるのは大きく分けて、電子記録の真正性を守る仕組み(監査証跡、アクセス制御、システムバリデーション、正確なコピーの生成)と、電子署名を手書き署名と法的に同等とみなすための要件(署名者の一意な特定、署名と記録の不可分な結合、署名の意味の明示)です。電子署名は単なるパスワード入力ではなく、「誰が・いつ・何の目的で(承認/レビュー/作成)署名したか」が記録に固定されていなければなりません。
| 項目 | 紙の記録 | 電子記録(Part 11準拠) |
|---|---|---|
| 改ざん防止 | 二重線訂正+署名・日付 | 監査証跡で変更履歴を自動記録 |
| 帰属性 | 手書き署名 | 一意な電子署名(共有ID不可) |
| アクセス制御 | 施錠・保管庫 | 役割ベースの権限とログイン管理 |
| 保管 | 原本の物理保管 | バックアップと長期可読性の確保 |
| コピー | 真正コピーの認証 | 監査証跡を含む正確なコピー生成 |
電子化は転記ミスを減らし追跡性を高める強力な手段ですが、システムが Part 11/Annex 11 の要件を満たすよう設定・バリデーションされて初めて、その電子記録は信頼できるものになります。 電子化それ自体がデータインテグリティを保証するのではなく、適切に設定・バリデートされたシステムだけがそれを保証します。
電子署名はパスワード入力と同じではありません。署名者を一意に特定でき、署名が記録と不可分に結合し、署名の意味(作成・レビュー・承認)が明示されている——この3点が揃って初めて、手書き署名と同等の効力を持ちます。導入時に「誰が・なぜ署名したか」が記録に固定される設計かを必ず確認します。
監査証跡とアクセス権限の設計
電子記録の信頼性を支える二本柱が、監査証跡(オーディットトレイル)とアクセス権限です。
監査証跡とは、データの作成・変更・削除のすべてを、実施者・日時・変更前後の値・変更理由とともに自動記録する機能です。要点は、監査証跡自体が無効化・編集できないこと、そして記録されるだけでなく定期的にレビューされることです。誰も見ていなければ改変は検知されません。実務では結果に影響する重要操作(積分のやり直し、規格の変更、データ削除)に絞り、リスクベースでレビューの頻度と範囲を決めます。
アクセス権限は、役割ベースアクセス制御(RBAC)で「誰が何をできるか」を分離するのが基本です。分析者は測定と一次記録、レビュアーは承認、管理者は設定変更、というように職務を分け、特に「測定する人」と「結果を承認する人」を分離します(職務分離)。最も避けるべきは、分析者が管理者権限を持ち、自分でデータを消したり時刻を変えたりできてしまう構成です。 監査証跡は「記録して終わり」ではなく定期レビューまで、アクセス権限は職務分離まで設計して初めて機能します。
これらの権限・履歴を一元管理するのが、試験室では LIMS、製造現場では SCADA/MES、検体の所在管理では サンプル管理システム の役割です。後段でまとめて触れます。
紙/電子ハイブリッドの落とし穴
現実の現場では、すべてが完全電子化されているわけではなく、紙と電子が混在するハイブリッド運用が広く残っています。このハイブリッドこそ、データインテグリティの最大の落とし穴です。
典型例は、装置(HPLC、天秤、pH計など)が電子の生データを持っているのに、現場では結果を紙やExcelに転記し、その紙だけを正式記録として扱うケースです。このとき装置内の電子生データが原本(Original)であり、紙はその一部の写しに過ぎません。にもかかわらず電子データを管理対象から外していると、「都合の悪い測定をなかったことにする」余地が残り、Original と Complete の両方が崩れます。
| ハイブリッドの落とし穴 | 崩れるALCOA+ | 対策の方向 |
|---|---|---|
| 装置の電子生データを管理対象外にする | Original / Complete | 生データを原本として保全・バックアップ |
| 結果を後でまとめて紙に転記する | Contemporaneous | その場記録、または電子取り込み |
| Excelに手入力して計算する | Accurate / Attributable | 計算式の検証・入力制御・監査証跡 |
| 装置の時刻を各自で変更できる | Attributable / Consistent | 時刻同期と時刻変更権限の制限 |
| 紙のSOPと電子手順の版がずれる | Consistent | 版管理の一元化 |
対策の基本は、「何が原本か」を工程ごとに明確に定義し、装置の電子生データを必ず原本として保全することです。 ハイブリッド運用では、装置の電子生データこそが原本であり、紙への転記はそれを置き換えないという原則を徹底することが最大の防御になります。
査察での指摘例
データインテグリティの抽象論を具体に落とすには、実際に査察で指摘される行為を知るのが早道です。FDAのWarning LetterやEU GMPの不適合通知で繰り返し登場する典型を挙げます。
- 試験を非公式に「お試し実行」し、合格値だけを正式記録として残す(テスティング・イントゥ・コンプライアンス)
- 共有ログインIDを使い、誰が操作したか特定できない
- 装置のシステム日時を手動で変更し、記録の時系列を作り変えられる状態にある
- 監査証跡機能をオフにできる、または有効化されていない
- 削除済みデータがゴミ箱や一時フォルダに残り、正式記録と食い違う
- バックデート(後追い記入)された紙記録が見つかる
これらに共通するのは、いずれも ALCOA+ のどれかが崩れている点です。テスティング・イントゥ・コンプライアンスは Complete を、共有IDは Attributable を、時刻変更は Consistent と Attributable を破壊します。査察官は最終結果だけでなく監査証跡・生データ・削除ログを突き合わせるため、表面の数値を整えても矛盾はすぐ露見します。 査察では結果の良し悪し以前に「記録が信頼できる仕組みになっているか」が問われ、ALCOA+のいずれかが崩れていれば重大な指摘につながります。
なお、こうした記録の信頼性は試験データの解釈にも直結します。たとえば 純度分析 や 凝集体分析、HCP分析 の結果は、その生データと監査証跡が健全であって初めて意味を持ちます。
LIMS / MES でのデータインテグリティ担保
最後に、これらの要件を実務でどう仕組みに落とすかです。鍵になるのが、試験室・製造・検体管理の各システムです。
試験室では LIMS(試験室情報管理システム)が、サンプル受領から試験割付・結果入力・規格判定・承認までを一元管理し、各操作に監査証跡と電子署名を付与します。これで転記が減り、職務分離と権限管理が標準で効きます。製造現場では SCADA/MES が、製造実行記録(電子バッチレコード)をリアルタイムに取得し、工程パラメータと逸脱を同時性をもって記録します。検体の所在と授受の追跡には サンプル管理システム が使われ、取り違えやチェーン・オブ・カストディの不備を防ぎます。
ただし注意したいのは、システムを導入しただけではデータインテグリティは担保されない点です。Part 11/Annex 11に沿った設定(共有ID無効化、監査証跡の常時有効化、RBACの設定)と、それが意図通り動くことを確認するコンピュータ化システムバリデーション(CSV)が不可欠です。設計時のリスク評価から運用・保守までを通したバリデーションの考え方は、プロセスバリデーション と同じく、ライフサイクル全体で品質を作り込む発想に基づきます。 LIMS/MESは強力な担保手段ですが、適切な設定とバリデーションを伴って初めてデータインテグリティを実現します。
まとめ
データインテグリティは、医薬品の品質を「信頼できる記録」で証明するための土台です。その共通言語が ALCOA+ の9原則であり、とりわけ Attributable・Contemporaneous・Complete が実務の急所になります。電子記録は 21 CFR Part 11 / Annex 11 に沿って設定し、監査証跡の常時有効化と定期レビュー、職務分離を伴う役割ベースのアクセス制御で守ります。紙と電子のハイブリッドでは「装置の電子生データこそ原本」という原則を徹底し、査察で繰り返し指摘される共有ID・時刻変更・失敗データの隠蔽を仕組みで防ぎます。LIMS・MES・サンプル管理システムは強力な担保手段ですが、適切な設定とバリデーションがあって初めて機能します。記録を信頼できるものにする設計こそが、製品の信頼そのものを支えます。
参考文献
- FDA: Data Integrity and Compliance With Drug CGMP — Guidance for Industry(FDA)
- 21 CFR Part 11: Electronic Records; Electronic Signatures(FDA)
- ICH Q9(R1): Quality Risk Management(ICH、リスクベースの監査証跡レビューの基礎)
- ICH Q7: Good Manufacturing Practice Guide for Active Pharmaceutical Ingredients(ICH)
- USP <1058> Analytical Instrument Qualification(USP、装置の適格性とデータの信頼性)
- 医薬品の製造管理及び品質管理に関する基準(GMP省令)関連通知(PMDA)