製造工程や品質検査における記録のデジタル化が進むにつれ、改ざんなどデータの不正も大きな問題となってきました。今回はデータの信頼性を担保するために重要な「監査証跡」について解説します。
目次
監査証跡とは
監査証跡とは、製造記録、製品の品質記録などにおける操作や変更を後から追跡できるようにするための記録(ログ)です。単にデータを残すだけではなく、データの質と信頼性が保たれているかが重要です。
監査証跡では、誰が操作を行ったか、操作が行われた日時、行った操作の内容が時系列順で正確に残されている必要があります。監査証跡を保持することでデータ不正の早期発見や抑制にもつながり、企業として消費者へ安全な製品を提供できるという信頼性を担保できるようになります。
また、監査証跡と関連の深いものにデータインテグリティがあります。
データインテグリティとは、データの正確性・一貫性・完全性・安全性が保たれており、不正な変更や改ざんがされていない状態のことを指します。特に製薬業界などでは基準が厳しく「ALCOA-CCEA原則」に則ったデータ管理が求められています。
ALCOA-CCEA原則
Attributable(帰属性):データの所有者や責任が明確である
Legible(判読性):記載されているデータの内容が読め、理解できる
Contemporaneous(同時性):データの生成と記録が同時である
Original(原本性):データが複製されたものではない
Accurate(正確性):データが正確である
Complete(完全性):データが完全である
Consistent(一貫性):データの内容に一貫性があり、矛盾していない
Enduring(耐久性):データが永続的に利用できる
Available when needed(必要時の有用性):必要な時にすぐデータが利用できる
適切に運用を行うには
運用範囲を決める
これは監査証跡に限った話ではないですが、必ず監査証跡をとる業務や範囲ははじめに明確化しておきましょう。監査証跡では厳格なデータ管理が求められるため、準備や運用の負荷がかかりやすくなります。そのため、内部/外部監査で必要となる内容を見極め、監査証跡が必要な部分にしっかりと的を絞ることが重要となります。業務上の重要性や、トラブルが発生した場合の確認頻度などを考慮に入れるようにしましょう。
データ保管方法・保管期間を決める
製造記録、品質記録などをデータ運用にどのシステムを使うか、どのような形でデータを保存していくかのルール決めも重要です。対象となる業界規制や法令を遵守するためにはどれだけの期間のデータ保存が必要なのかもきちんと把握しておきましょう。法令によって必要な保存期間は異なり、ISO9001やISO27001のようにそれ自体には具体的な保持期間が明言されていないケースもあります。最低限の目安としては1年間のデータを保持するケースが多く、リスクが高いデータに関してはより長期間のデータ保存を求められるケースもあります。一方で法令によっては必要ではなくなった情報を削除するという規定が設けられている場合もあるため、データの削除に関する規定もないか合わせてチェックしておくことをおすすめします。
セキュリティ対策
入力されたデータが改ざんされない、また意図しない変更がなされないかどうかも常に意識する必要があります。監査証跡のデータにアクセスできるユーザーは必要最小限に抑え、一般のユーザーはアクセスができないようにすることで、意図しない誤操作や、データ漏洩のリスクを削減することができます。また、監査証跡のデータに変更を行う際には、変更時間、ユーザー、変更内容などの情報がきちんと追跡できるようになっていることが望ましいです。製造記録や検査記録などで作業が完了したデータについては、編集できないようにロックをかける、タイムスタンプを付与するなどでデータ管理を強化できます。
定期的なレビューと改善
監査証跡のシステム運用を始めた後でも、日々業務内容は変化していきます。システム導入して終わりではなく、その後も保存されている監査証跡が対象の業務プロセスを漏れなくカバーできているか、アクセス権限を再評価するなど、定期的にレビューを行っていくことが大切です。業界基準や法令も変更される場合があるので、そちらも常に最新の情報を取得し、継続して改善を行っていくことを心がけましょう。
現場で使いやすいツールを選定するポイント
現場の人にとっても使いやすい
監査証跡には厳格な運用が求められる一方、監査のほかにも日々の運用・トラブルへの対応で使われる頻度が多いため、使いやすいツールを選ぶことはとても重要です。これまで製造日報や検査成績書などを紙に記録していた場合、フォーマットを電子化するにあたりどうしても紙と使い勝手を比較されてしまいます。入力の手間を減らす機能、人が行っていたチェックや確認を自動で行うなど、現場サイドでの作業の効率化・省力化も行えることが理想です。
また、普段業務で使っているシステムと連携できるかも重要なポイントです。システムにログインする際に他のシステムと同じIDが使えるか、生産計画や各種マスタ情報とデータ連携ができるかという部分を事前に確認しておくことで、実際に現場で利用する際にスムーズな運用が可能となります。
誰が見ても分かりやすい内容にする
監査証跡として残す記録は、誰が見ても分かりやすい内容にする必要があります。冒頭で説明したような「いつ」「だれが」「何を」「何のために」といった情報がすぐ確認できるのはもちろんのこと、記録に対して必要な変更があった場合にも、変更の履歴をすぐ探して見せられることも重要です。ツール選定の際には、監査証跡のデータをレポート形式のフォーマットですぐに出力できるのか、という点にも気を配るようにしておきましょう。
まとめ
監査証跡を正しく残して記録の正確性を担保することは、製品並びに企業としての信頼を高めることに繋がります。保存期間、セキュリティなど注意すべき点はたくさんありますが、管理者・現場双方の理解を得ながら準備をすすめていきましょう。
コメントを残す