　他方、GMP（Good Manufacturing Practice）に関連して、FDA傘下の医療機器・放射線保健センター（CDRH）と生物製剤評価・研究センター（CBER）は2025年9月23日、「製造および品質システムソフトウェアに対するコンピュータソフトウェア保証―業界および米国食品医薬品局職員向けガイダンス」最終版（関連情報）を公開した。

　このガイダンスは、医療機器の製造や品質システムの一部として使用されるコンピュータおよび自動データ処理システムに対して、コンピュータソフトウェア保証（CSA）に関する推奨事項を提供することを目的としている。本ガイダンスは、網羅的な文書化とテストに基づく従来のコンピュータ化システムバリデーション（CSV）からリスクベースのCSAへの移行の観点から、FDAの「ソフトウェアバリデーションの一般原則」（関連情報）を補完するものである。特に、「ソフトウェアバリデーションの一般原則」ガイダンスの第6節（自動化されたプロセス機器および品質システムソフトウェアのバリデーション）については、本ガイダンスがそれに代わるものとなっている。

　今回公開されたガイダンスは、以下のような構成になっている。

I．はじめに
II．背景
III．適用範囲
IV．定義
V．コンピュータソフトウェア保証
- A．コンピュータソフトウェア保証のリスクフレームワーク
  - （1）意図された使用の特定
  - （2）リスクベースアプローチの決定
  - （3）製造または品質システムソフトウェアの変更
  - （4）適切な保証活動の決定
  - （5）保証活動に関する追加的考慮事項
  - （6）適切な記録の確立
- B．電子記録要件に関する考慮事項
附表A．事例
事例1：不適合管理システム
事例2：学習管理システム（LMS）
事例3：ビジネスインテリジェンスアプリケーション
事例4：SaaS（Software as a Service）製品のライフサイクル管理システム（PLM）

　この中でFDAは、CSAについて、「ソフトウェアが意図された用途に適していることに対する信頼を確立／維持するためのリスクベースアプローチ」と定義している。このアプローチは、ソフトウェアが意図通りに機能しなかった場合に、製品の安全性や品質が損なわれるリスクを考慮し、そのリスクに応じて必要な保証活動のレベルや内容を決定するものである。CSAでは、「最小限の負担」という考え方に従い、リスクに対応するために必要以上のバリデーション負担を課さないことを重視する。

　さらにFDAは、CSAを通じて、製造や品質システムで使用されるソフトウェアが、ライフサイクル全体を通じてバリデーションされた状態にあることを確立／維持する役割も果たすとしている。最近、製造業者がコンピュータや自動処理システムに依存して、製造の監視／操作、担当者へのアラート通知、製造データの転送／分析などを行うケースが増えていることから非常に重要だとしている。

CSAリスクフレームワークを活用

　次に「V．コンピュータソフトウェア保証」では、ソフトウェアのライフサイクル全体を通じて、リスクベースのCSAフレームワークを確立するために、製造業者を支援する手法について説明している。このフレームワークは、以下の6つのフェーズから構成される。

（1）意図された使用の特定：

ソフトウェアが製造工程や品質システムのどこで、何のために使われるかを明確にする
製造業者が、製造工程または品質システムの一部として使用されるソフトウェアについて、意図された用途に対して妥当性を確認することが求められる。この対象には、クラウドサービスを利用したコンピュータ化システムも含まれる

（2）リスクベースアプローチの決定：

予見可能なソフトウェアの故障を体系的に特定する
その故障が高いプロセスリスクを引き起こすかどうかを評価する
医療機器または製造プロセスのリスクに応じて、適切な保証活動を選定／実施する

（3）製造または品質システムソフトウェアの変更：

承認済みの市販前承認（PMA）または人道的使用機器免除（HDE）を持つ医療機器については、製造手順や製造方法の変更が機器の安全性または有効性に影響を与えない場合、その変更は定期報告（通常は年次報告）でFDAに報告されれば、PMA／HDE補足申請は不要である。また、安全性や有効性に影響を与える製造手順や方法の変更についても、30日通知として提出されるため、PMA／HDE補足申請は不要である
製造手順や方法の変更には、製造工程や品質システムで使用されるソフトウェアの変更も含まれる可能性がある

（4）適切な保証活動の決定

製造業者が、ソフトウェアの機能／特性／操作が高いプロセスリスク（安全性を損なう可能性のある品質問題）を伴うかどうかを判断した後に、医療機器のリスクまたはプロセスリスクに応じた保証活動を特定する必要がある
- 高いプロセスリスクがあるソフトウェアの機能／特性／操作に対しては、スクリプト化されたテスト（事前に手順が決められたテスト）や、スクリプト化と非スクリプト化のハイブリッドアプローチを、適切なスケールで実施することを検討する
- 高いプロセスリスクではない場合、非スクリプト化テスト（例：シナリオテスト、エラー推測、探索的テスト）や、リスクに適した複数の手法の組み合わせが推奨される

（5）保証活動に関する追加的考慮事項

FDAは、保証アプローチの一環として、ソフトウェアベンダーに対するリスクベースの分析を確立し、適用することを推奨している
製造業者は、自社の手順の中に、製品／サービス／サプライヤーに対してどのような管理を行うかを定義し、指定された要求事項を満たす能力に基づいてサプライヤーに求める要件を確立・維持する必要がある
製造業者は、意図された用途に関連するリスクに最も適した活動、または複数の活動の組み合わせを柔軟に活用することができる

（6）適切な記録の確立

記録を作成する際、製造業者は、ソフトウェアの機能／特／性・操作が適切に評価され、意図した通りに動作することを示すのに十分な客観的証拠を記録として残す必要がある
FDAは、最も負担の少ないアプローチとして、保証活動に関連する記録を作成する際には、紙の文書やスクリーンショット、既にソフトウェアによってデジタル保存されている結果の重複記録ではなく、システムログ、監査証跡、その他ソフトウェアが生成／保持するデータなどのデジタル記録を活用することを推奨している。また、デジタル記録を使用する際には、その記録の用途と、正確性／信頼性／完全性／可用性／真正性の確保が必要かどうかを、リスクベースの保証アプローチの一環として検討することが推奨される。

　続いて、「B．電子記録要件の考慮事項」では、従来の紙ベースの文書化から、デジタル記録の活用へとシフトすることを強く推奨している。システムログや監査証跡、ソフトウェアが生成／保持するデータなどを、保証活動の記録として活用する一方、紙の文書、スクリーンショット、重複記録は原則不要としている。また、電子記録／電子署名に関する規制（21 CFR Part 11）との関連性も明確化されており、記録の真正性／完全性／可用性／信頼性／正確性が確保されることを前提としている。

海外製造業者に対する査察強化姿勢を打ち出したFDA

前のページへ 1|2|3 次のページへ