前回に引き続きソフトウェアのバリデーションに焦点をおいて、その本質を探る手がかりを提供することを試みたい。
4. 規制要求としてのバリデーション
規制要求としてのバリデーションを考えるに当たって、二つの視点を考慮するとよいだろう。それは、規制当局の視点と規制対象企業の経営陣の視点である。
製薬業界においてバリデーションの実施を求めているのは、法律(薬機法)ではなく、規制当局の命令(厚生労働省令)や行政規則(厚生労働省の通知やガイドラインなど)である。これらの命令や行政規則には、根拠となる法の目的に加え、行政上の目的も加味されている。
規制対象企業がバリデーションを実施するにあたり、規制当局の視点に立ってこれらの目的と要件の両方に合致することを目指すことは言うまでもなく重要である。法の目的や行政上の目的を無視した表層的な規制要件の充足を規制当局は受け入れないだろう。また、規制当局が確認できるバリデーション記録が残っているかという点も同様に重要であり、通常、こうした記録の保存要件も命令や行政規則に含まれる。
ところで、規制当局の命令や行政規則にはどのようなテストをどれだけするといった具体的な記載はない。規制対象企業はバリデーションの「適切な実施レベル」や実施内容の明示を規制に求めたくなるかもしれないが、それは合目的性によりケースバイケースで判断されると考えるべきだろう。この点は後述する。
次に、規制対象企業の経営陣の視点である。今日、企業の価値は多分に将来の利益を含んでいる。株主から経営を委任された経営陣は、将来期待される利益の実現のために、事業継続の前提となるコンプライアンス(法令遵守)を確保しなければならない。ここで、そのコンプライアンスのためのコストは適正でなければならない。コンプライアンスのためならどんなに過大なコストも惜しまないという態度は、営利企業がとれるものではない。このように、経営陣の視点には対立し得る二つの要素が含まれる。
ソフトウェアの品質に関する漠然とした規制要求に対して、(QMSの考え方に則って)方針や達成すべき目標などをどのように定めるべきかという前述の問題は、先にみた「合理的な自信」を念頭に置きつつ、上記の二つの視点を踏まえて検討することになる。これらの視点のうち、とりわけ経営陣の視点にはバランスが求められるが、ここで更なる手がかりを提供するのがリスクベースアプローチである。
2ページ中 1ページ目
執筆者について
青柳 伸宏
経歴
グリーンウィロー株式会社 代表取締役社長
大学院在学中より政府系シンクタンクのリサーチアシスタント、ITコンサルティング会社のコンサルタント、ベンチャー企業の監査役などを務め、2010年にグリーンウィロー株式会社を設立。情報セキュリティマネジメント、ソフトウェア品質マネジメント、ITサービスマネジメント、ソフトウェア開発ライフサイクル(SDLC)などを基盤として、GxP規制、財務報告規制、データ保護規制など情報システムに関連する諸規制を統合的に取り扱う IT GRC(Governance, Risk, and Compliance)を実践する。CSVやサプライヤアセスメントの実績は多数あり、単一の規制対応に閉じない multi-regulated な環境への対応に強みを持つ。2022-2023年 JIS Q 27701 原案作成委員会事務局。商学修士(早稲田大学)。
コメント
/
/
/
この記事へのコメントはありません。
コメント