「 文書管理計画書」「教育訓練計画書 」 「 セキュリティ計画書」「電子署名管理規則 」 の 書き方

1. 5,000円ぽっきりのCSVセミナー　【第9講】 「文書管理計画書」「教育訓練計画書」「セキュリティ計画書」「電子署名管理規則」の書き方 2013年2月28日 イーコンプライアンス http://eCompliance.co.jp

2. Table of contents • 文書管理計画書 • 教育訓練計画書 • セキュリティ計画書 • 電子署名管理規則

3. 文書管理の必要性 • 数多くのCSV成果物 • 複数のステータス（ドラフト中、レビュ中、承認待、承認、公開） • 複数のレビュア • 版数管理 • 旧版の管理

4. 文書管理の目的と検討事項 文書管理の目的 • 作成手順・レビュ方法の統一化 • 文書ステータスの管理 • 最新版文書の管理 • 文書管理者による一元管理 検討事項 社内文書管理規定に従った文書作成 文書管理者による一元管理 フォルダ構成の決定 文書管理手順の決定

5. 文書管理計画書（DMP）Roles and Responsibilities（役割と責任）

6. 文書管理計画書（DMP）Roles and Responsibilities（役割と責任） 文書管理者 • フォルダ作成・削除 • アクセス権の付与 • 文書管理

7. CSVプロジェクト管理フォルダ 旧版管理用 Project名 スケジュール Deliverables yyyymmdd プロジェクト管理 打ち合わせ Receivables スケジュール Action Item一覧・課題管理表 work yyyymmdd yyyymmdd （最新版） 打ち合わせ毎に実施日のフォルダを作成 （旧版2） （旧版1） （旧版3）

8. CSV成果物管理フォルダー Project名 Deliverables 01 URS 最終版 03　バリデーション計画書 work 02 リスクアセスメント （旧版） （最新版） 最終版 編集中 最終版 レビュ中 最終版 レビュ中 編集中 編集中 レビュ中

9. ファイル名命名規則 ファイル名命名規則 • ファイル名は原則、社内規定文書を遵守 • 社内規定でルール化されていない場合は、下記の規則に従う • 「文書名_バージョン番号_YYYYMMDD_イニシャル.拡張子」 • 文書名：関係者が共通で認識できる番号 • バージョン番号：作成中「00」、レビュ結果反映毎に「01」繰り上げ、最終版「10」 • YYYYMMDD ：更新日 • イニシャル：更新者のイニシャル • 拡張子：Office2003形式（doc、xls、ppt等） • 例） • URS_00_20130316_MT.doc

10. 文書管理計画書（DMP）Document IDの付け方　XXX-01-VP-01 • URS、FS、DSは、システムに対して最新版が1冊 • VP、VRは、プロジェクトに対して最新版が1冊 • バージョンアッププロジェクト：XXX-02-VP-01 • ログは、エラーを含めてすべてのバージョンを管理 • OQスクリプト：XXX-01-OQS-01 • OQログ：XXX-01-OQL-01-02

11. 文書管理計画書（DMP）ヘッダーとフッター

12. 文書管理計画書（DMP）ドキュメントの作成 • 著者 文書管理者が指定するフォルダからコピー、または文書管理者に要求し、定められたテンプレートを「編集中」フォルダへコピーする。（旧版は「work」フォルダへ移動する。） 「編集中」フォルダ内のファイルに対して編集を行い、ファイル命名法に従いファイル名を付ける 固有のドキュメント管理番号を付与する（DIまたは文書管理者から取得）。また、ドキュメント初版のドキュメントバージョン、ドキュメントタイトルを付与する。 • 文書管理者 DIのステータスを”Draft”とする。

13. 文書管理計画書（DMP）ドキュメントの更新 • 著者は、下記の手順に従って、指定場所に保管されているドキュメントを改訂または更新する。 • 著者 ヘッダーのドキュメントバージョンを編集し、マイナーバージョンを+01とする。 ドキュメント更新中およびレビュサイクル中は、編集を追跡するため変更履歴をONにし、レビュアに変更箇所を表示する。（以前のバージョンからの変更点がわかるようにする） 内容を編集する。 • 文書管理者 DIの内容を更新する。

14. 文書管理計画書（DMP）ドキュメントのレビュ • 著者 レビュ実行中のドキュメントのヘッダー、署名ページ、属性が正確であることを確認する。 また、改訂履歴とドキュメントの参照が正確に記載されていることを確認する。 2回目以降のレビュでは、変更履歴がONになっていることを確認し、変更箇所を表示する（編集を追跡する）。 完成したドラフトドキュメントを「レビュ」フォルダへ移動する。 文書管理者に、ドラフトレビュを依頼したことを通知する。 • 文書管理者 DIのステータスを”Review”に変更する。 レビューアにメールでレビュを依頼する。 レビュは、5営業日以内で完了するよう要請する。

15. 文書管理計画書（DMP）ドキュメントのレビュ • レビュア 該当するレビュアは、「レビュ」フォルダ内にあるファイルに対し、ファイル名を変更する レビュコメントを記入するか直接編集する。コメントが少ない場合、メールにコメントを記載してもよい。 ドキュメントの品質に疑問がある場合は、レビュを拒否する（ドキュメントの差し戻し）ことができ、著者および文書管理者にドキュメントの見直しを依頼する。 各レビュアはレビュ終了後、レビュ完了を著者および文書管理者にメールで通知する。 必要な場合は著者や関係者とミーティング等を行い、解釈の相違を防ぐ。 • 著者 全てのレビュ結果が揃ったことを確認し、レビュ結果に従い必要な改訂・加筆を行う。 レビュ結果が反映されたファイルに対し、ファイル命名法に従いバージョンを繰り上げてファイル名を付ける。 旧ファイルを「work」フォルダへ移動する。 再度、レビュ依頼をし、レビュ結果がすべて反映されるまで繰り返す。 レビュが完了したら、「最終版」フォルダへ移動する。 同時に、レビュプロセスの完了を文書管理者に通知する。

16. 文書管理計画書（DMP）ドキュメントの承認 • 著者 レビュアのコメントとその対応を記載した「レビュ結果報告」を作成する。 「レビュ結果報告」は、ドキュメントの内容に関するレビュアのコメントに対する著者の対処について記載し、誤字・脱字等に対するコメントは記載しない。 「レビュ結果報告」を「最終版」フォルダへ置く。 文書管理者に承認を依頼する。 • 文書管理者 当該承認者に承認を依頼する。 • 承認者 最終ファイルと「レビュ結果報告」を元に、内容を検証する。問題がなければ、ドキュメントを承認することをメールで著者および文書管理者に通知する。 内容が承認できない場合は、承認を拒否（却下）することをメールでプロジェクトオーナ、著者および文書管理者に通知する。

17. 文書管理計画書（DMP）ドキュメントの却下時対応文書管理計画書（DMP）ドキュメントの却下時対応 • プロジェクトオーナ 承認者が承認を拒否（却下）した場合、著者およびレビュアを再検討し、必要であれば再指名する。新指名者を該当者および文書管理者に通知し、「ドキュメントの更新」からやり直すよう指示する。 • 著者 承認者に却下されたドキュメントは、著者が再検討を行う。必要な場合は、レビュアや関係者とミーティング等を行い、「ドキュメントの更新」からやり直す。

18. 文書管理計画書（DMP）ドキュメントの承認時対応文書管理計画書（DMP）ドキュメントの承認時対応 • 文書管理者 承認を受けたら、最終ドラフトドキュメントの文書番号、ステータス、有効日および改訂履歴を更新する。 Wordの変更履歴をすべて反映させ、定められた場所に保管すると同時に印刷する。 DIのステータスを”Approval“に変更し、プロジェクトスケジュールと対応する承認プロセスのスケジュールを確認する。 印刷したドキュメントの署名ページに必要な署名を取得後、全ページをPDFファイルに変換する。作成したPDFファイルは、定められた場所に保管する。 DIのステータスを“Effective”に変更する。

19. Table of contents • 文書管理計画書 • 教育訓練計画書 • セキュリティ計画書 • 電子署名管理規則

20. 厚労省ER/ES指針目次 １．目的 ２．用語の定義 ３．電磁的記録利用のための要件 　　３．１　電磁的記録の管理方法 　　　　３．１．１　電磁的記録の真正性 　　　　３．１．２　電磁的記録の見読性 　　　　３．１．３　電磁的記録の保存性 　　３．２　クローズド･システムの利用 　　３．３　オープン･システムの利用 ４．電子署名利用のための要件 ５．その他 電磁的記録及び電子署名の利用のために必要な責任者、管理者、組織、設備及び教育訓練に関する事項を規定

21. 教育訓練の必須3要素 • カリキュラムがあること • 責任者が存在すること • 記録があること 教育＝Education=学科教習 訓練＝Training=路上教習

22. Table of contents • 文書管理計画書 • 教育訓練計画書 • セキュリティ計画書 • 電子署名管理規則

23. 厚労省ER/ES指針３．電磁的記録利用のための要件3.1.1.電磁的記録の真正性厚労省ER/ES指針３．電磁的記録利用のための要件3.1.1.電磁的記録の真正性 3.1.1. 電磁的記録の真正性 電磁的記録が完全、正確であり、かつ信頼できるとともに、作成、変更、削除の責任の所在が明確であること。 真正性を確保するためには、以下の要件を満たすことが必要である。 （１）　システムのセキュリティを保持するための規則、手順が文書化されており、適切に実施されていること。 （２）　保存情報の作成者が明確に識別できること。また、一旦保存された情報を変更する場合は、変更前の情報も保存されるとともに、変更者が明確に識別できること。なお、監査証跡が自動的に記録され、記録された監査証跡は予め定められた手順で確認できることが望ましい。 （３）　電磁的記録のバックアップ手順が文書化されており、適切に実施されていること。 • 規則=Rule • 「パスワードは6文字以上にすること」「パスワードは90日以内に変更すること」 • 手順=Procedure

24. セキュリティとは 物理的なセキュリティ 施錠、入退室制限 論理的なセキュリティ ID、パスワード、アクセス制限 セキュリティの記録 ユーザ（アクセス権限）登録・変更・削除、入退室記録、監査証跡、エラーログ（3回ログオンに失敗したなど）

25. Table of contents • 文書管理計画書 • 教育訓練計画書 • セキュリティ計画書 • 電子署名管理規則

26. 電子署名法　「電子署名及び認証業務に関する法律」とは電子署名法　「電子署名及び認証業務に関する法律」とは 電子署名とその認証に関する規定を定め、電子署名が手書き署名や押印同様に通用する法的基盤を整備することで、情報流通の円滑化を図った法律。2000（平成12）年5月に成立し、翌年4月から施行された。 この法律によって、一定の電子署名をされた電子的文書は、手書き署名や押印をされた文書と同程度の法的効力を持つようになった。電子署名の普及による情報流通の円滑化、手続きの簡素化により、電子商取引をはじめとする経済活動の発展を促すことも狙いに含まれている。 法的に有効な電子署名の認証は特定認証業務と呼ばれ、一定の条件を充たして国から認定を与えられた事業者によって行なわれるものと規定されている。認定を受けた認証業者はその旨を表示することができるが、認定には有効期限が定められている。 日本認証サービス株式会社や帝国データバンク社など数社による認証サービスが認定を受けている。

27. 電子署名法　「電子署名及び認証業務に関する法律」とは電子署名法　「電子署名及び認証業務に関する法律」とは 電子署名法3条電磁的記録の真正な成立の推定 • 電磁的記録であって情報を表すために作成されたものは、当該電磁的記録に記録された情報について本人による電子署名が行われているときは、真正に成立したものと推定。 • 公務員が職務上作成したものを除く • 推定を受ける電子署名は、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」 電子署名に、押印などと同等の効力を持たせた

28. 電子署名法抜粋 第一条　目的 第二条　定義 ・電子署名＝電磁的記録に行われる措置 （電子署名の要件 ： 本人性証明、非改ざん性証明） ・認証業務＝利用者の証明業務 • 第三条　本人の電子署名＝真正な成立の推定 • 第四～十六条　特定認証業務の認定等 • 第十七～三十二条　指定調査機関等 • 第三十三～四十条　雑則 • 第四十一～四十七条　罰則 • 附則

29. ４．電子署名利用のための要件 • ４．電子署名利用のための要件 • 　電子署名を利用する場合は、電子署名の信頼性を確保するために、以下の要件を満たすこと。 • （１）　電子署名及び認証業務に関する法律(平成12年5月31日法律第102号)に基づき、電子署名の管理・運用に係る手順が文書化されており、適切に実施していること。 • （２）　電子署名は、各個人を特定できる唯一のものとし、他の誰にも再使用、再割当しないこと。 • （３）　電磁的記録による資料について電子署名を使用する場合は、署名された電磁的記録には以下の全項目を明示する情報が含まれていること。 • ・署名者の氏名 • ・署名が行われた日時 • ・署名の意味（作成、確認、承認等） • （４）　電磁的記録に付された電子署名は、不正使用を防止するため、通常の方法では削除・コピー等ができないように、対応する各々の電磁的記録とリンクしていること。

30. 電子署名を運用する際の要件 ER/ES指針「4.電子署名利用のための要件」に沿って以下の通り適切に運用されていること 電子署名に関わるアカウント管理規則を定め、運用すること 関係者のトレーニングを実施し、記録を残すこと 電子署名の場合は、署名時、適用範囲・適用されるデータ及び署名の意味を明示すること及び削除・コピーができないこと、電子署名に伴い記録される電磁的記録には署名者、署名の日時、署名の意味（位置づけ）が含まれることをシステム要件に含めること 電磁的記録に対して、記名捺印又は手書き署名を用いる場合には、記名捺印又は手書き署名と対象となる電磁的記録との対応付けが明確であることを保証すること 署名時点と署名の対象となった電磁的記録が明確であり、電磁的記録が更新された場合には、更新された電磁的記録に対して署名がなされていること

31. 電子署名運用教育の内容 治験責任医師に対し、電子署名使用に関して以下の内容を含む教育を行うこと。 • 電子署名とは、電子的に署名（捺印）を行うことです。 • 電子署名の下で行った行為は、手書き署名と同等の法的拘束力を有し、署名者本人が責任を負わなければなりません。 • 電子署名を行った場合、事後否認はできません。 • 電子署名を行う際には、署名毎にパスワードを入力しなければなりません。 • 電子署名実施中は、ログインしたまま離席してはなりません。 • 電子署名を他人に代行させてはなりません。絶対に他人にパスワードを教えないでください。 • 電子署名を行う際には、当該症例の監査証跡を確認しなければなりません。

32. 電子署名使用に関しての治験責任医師への指導電子署名使用に関しての治験責任医師への指導 パスワードの管理の徹底（他人に教えてはならない。紙に書かない。など） 事後否認ができないことの周知 治験責任医師による同意と署名の例（ユーザ登録時に必須） • この用紙に署名することにより、電子署名の役割を果たすアカウントとパスワードが私に付与されることを承知します。 • 私はログイン名とパスワードを利用してスタディにアクセスすることを了解します。 • パスワードは判読しにくく、私自身にしかわかりません。（Strong Password） • このログイン名及びパスワードを使用するのは私だけです。 • パスワードは他人と共有せず、紙に記録しません。 • 私は自分のパスワードを管理し、要求された場合や露見等セキュリティ侵害をうけた場合には変更します。 • 私の電子署名は法的に有効であり、書面での署名と同等に有効であることを承諾します。 • 私のアカウントとパスワードを利用してEDCシステムに入力されたデータは、私に責任があることを承諾します。 • 私の電子署名による電子記録に関する全アクションに対し、私は説明義務と責任を負うことを承知します。 • EDCシステムの不正使用の疑いがある場合は、ただちに治験依頼者に報告することを同意します。