3 ． PIC/S & Annex 11 入門

岩井機械工業株式会社御中 3．PIC/S& Annex 11入門 2012年5月18日イーコンプライアンス http://eCompliance.co.jp

Table of contents • PIC/S入門 • EU GMP Annex 11入門

PIC/S（医薬品査察協定および医薬品査察共同スキーム）PIC/S（医薬品査察協定および医薬品査察共同スキーム） • 各国・地域の薬事行政当局が集まってGMP基準のハーモナイズを推進し、ガイダンスを発行するとともに、GMP査察官の教育や認証を行い、共同ないしは相互査察を行おうとするものである。 • 母体であるPIC（Pharmaceutical Inspection Convention:医薬品製造査察の相互認証に関する協定）は、EFTA（欧州自由貿易連合）加盟の10ヶ国（オーストリア、デンマーク、フィンランド、アイスランド、リヒテンシュタイン、ノルウェ－、ポルトガル、スウェーデン、スイス、イギリス）によって1970年10月に設立された。 • PICに参加する各国の法律の間の不一致が明らかとなり、PICSchemeが必要となった。 • PICとPICSchemeが一緒になって、1995年11月2日にPIC/Sとなった。 • PIC/Sには、欧州諸国を中心に、アジア、アフリカ、米国等も参加し、現在では39ヶ国が加入している（2011年1月現在）。

PIC/S（医薬品査察協定および医薬品査察共同スキーム）PIC/S（医薬品査察協定および医薬品査察共同スキーム） • 米国FDA 、ASEAN諸国のPIC/S加盟、台湾におけるPIC/SのGMP採用等、近年諸外国の行政当局はPIC/S加盟を推進している。 • PIC/S加盟をもって、日EU-MRAのように受入試験の省略が行われたり、GMP適合性調査の省略が可能となるわけではない。加盟国の査察結果の（相互）利用は、あくまでも利用側当局の判断と責任であり、受入義務は発生しない。

PIC/S加盟国（2011年1月現在 39規制当局） Austria Belgium Czech Rep. DenmarkEstonia Finland France Germany Greece Hungary Iceland Ireland Italy Latvia Liechtenst. Lithuania Malta Netherlands Norway Poland Portugal Romania Slovak Rep. Spain Sweden Switzerland UK Canada Cyprus FDA2011年1月1日加盟 Israel 厚労省2012年3月9日加盟申請 Malaysia Singapore Argentina Australia South Africa

PIC/S GMPの今後 • PIC/SとEMAは、リソースの有効活用の観点から、PIC/S GMPとEU GMPを協調して改定を行っている。したがって、EU GMPとPIC/S GMPは原則同一である。 • 米国（FDA）が、2011年1月からにPIC/Sに加盟した • FDAのPIC/S加盟の目的グローバルなサプライチェーンの監視。世界のGMPがEU GMPで席巻されることを嫌った。 • ICH参加国（査察機関）の内、2極がPIC/S加盟となる • 主な、世界の先進国がPIC/S加盟となる（米国、カナダ、オーストラリア、イギリス、ドイツなど） • ASEAN地域 • 国産の製薬会社があまり多くなく、外資系がほとんどのため、PIC/S GMPをそのまま採用しても構わない。 • PIC/S GMPと同一の国、同等の国

厚労省が2012年3月9日にPIC/S加盟申請を行った • 2012年3月9日、日本の厚生労働省は、医薬品医療機器総合機構（PMDA）及び日本の都道府県を代表し、厚労省名でPIC/Sへの加盟を申請した。 • 今後6年以内にPIC/S基準を満たし、PIC/S加盟を果たさなければならない。 • 6年以内に完了しなければ再申請が必要となり、1からの再スタートとなる。 • PIC/Sは、厚労省の加盟申請受け入れのため、ジュネーブで2012年5月7月～8日に行われたPIC/S委員会において審査官（ラポータ）が選任された。

PIC/S加盟の必要性 • 加盟国から輸入される医薬品等の製造販売承認が迅速に行われドラッグラグの解消が期待 • 使用者の保護〈国民の安心・安全確保〉 • 世界標準のGMPをクリアした医薬品を日本国内に流通させる必要がある。 • 行政リソースの有効活用 • 適切で効率のよいGMP調査を実施する必要がある。企業側がGMP査察にかかる人、コストも考慮する必要がある。 • 企業側では輸出入が容易（相手国からの査察受入減少など） • 日本の製薬業界の地位確保・サポート • 「PIC/S GMP準拠」が流通要件となるケースが見受けられる。 • 製造所査察内容を共有化出典：第31回医薬品GQP・GMP研究会「最近の薬事監視行政について」より転載　一部追記

PIC/S加盟審査および再審査 • 加盟申請当局機関の審査 • PIC/S加盟国と同等の査察システムを実施する能力と準備ができていること • 申請当局の査察および認可システム、品質システム、法的要求、査察官教育等の調査 • 薬事法、GMPガイド、品質システムがあり、同等である。（同一ではない） • 有能な査察官 • 加盟査察当局の再審査

PIC/S加盟申請後の6年間について • 国内企業がPIC/S GMPガイドへ適合するために十分な期間を設けなければならない。 • 規制当局の査察官の訓練も、製薬企業の協力なしでは実現できないはず。 • GMPは同等が求められる。（同一ではない） • 「査察の同等性確保」 • PMDAと地方庁が同一の品質システムでなければならない。 • これまでは会社の規模（資本金）に応じて査察のレベルが決まり、指摘が行われてきた。今後は、大企業・中小企業を含めて、海外輸出するか否かでPIC/S査察が行われるかどうかが決まる。 • 厚生労働省がPIC/Sに加盟できるまでは、FDAの査察はなくならない。 • FDAは、PIC/Sに加盟したため、トレーニングを通じ、品質システムに関する査察技術が一段と強化される。 • 日本では取り組みが立ち遅れている品質システムに重点を置いて今後は実施されることに留意しなければならない。

PIC/S加盟申請後の6年間について • ICHQ10の実装が求められる。 • 加盟が承認される最終判断は、PIC/S代表団が同席する複数回の観察結果で確認される。 • 厚労省側の査察結果とPIC/S代表団の評価が同等でなければならない。 • 両者が合格と評価する製薬企業がなければならない。（査察に不合格企業が含まれていても構わない。）

PIC/SGMP対応のために重要なこと • １つの査察の失敗でも米国、EUの両市場を一挙に失うことになる。 • PIC/S GMPガイドを正確に理解し、各要件に確実に適合するように体制を整えなければならない。 • PIC/S GMP対応のSOPを作成する際に、勝手な解釈や基準を設けないことが重要。 • 徹底的に解釈をすること。 • 自己基準で満足しないこと。

PIC/Sの査察対応 • GMPには優れたGMP査察対応者が必要。 • 会社は医薬品GMP規制およびその他の品質基準に準拠していることを確固たるものにすると同時に、監査対応担当者はそれを適切に示すため、その任務を完全に遂行しなければならない。 • GMPへの準拠ならびに最新のガイドラインなどへの取り組みを適切に表現するための認定された、またよく訓練された査察対応担当者なしには、折角のパフォーマンスが正当に評価されない。 • 一方で、正当に評価されることを目指せば、必然的にパフォーマンスの改善が必要になる。 • 規制の厳しい業界にあって査察対応担当者の資質を上げるとともに、会社のパフォーマンスを改善する必要がある。 • 効果的な査察への準備の仕方、厳しい質問への対応のしかた、査察での指摘事項への適切な対応と報告、是正措置の講じ方などをあらかじめ準備しておくこと。

起こりうる査察関連問題（例） • 基準以下の原料を意図的に購入している • 技術スタッフが購入に関与していない • 製品の品質レビュが実施されていない • オーナーが不合格品も販売するよう主張する • 汚職・詐欺的行為の横行 • トレーニングの軽視 • リスク評価のためのSOPが存在しない

Table of contents • PIC/S入門 • EU GMP Annex 11入門

EU薬事規則目次 • Contents of the Rules Governing Medicinal Products in The European Union • ■Volume 1：薬事規則 [Pharmaceutical Legislation] • 人体用医薬品 [Medicinal Products for Human use] • ■Volume 2：申請者への通知 [Notice to Applicant: NTA] • 人体用医薬品 [Medicinal Products for Human use] • ■Volume 3：ガイドライン [Pharmaceutical Legislation] • 人体用医薬品 [Medicinal Products for Human use] • 品質ガイドライン [Quality Guidelines] • ■Volume 4：GMP [Good Manufacturing Practices] • 人体用、および動物用医薬品のGMP • EU GMP付属資料（20種類） • EU GMP Annex11　コンピューター化システム [ComputerisedSystems] • 語彙 [Glossary] • ■Volume 5：薬事規則 [Phamaceutical Legislation] • ■Volume 6：申請者への通知 [Notice to Applicant] • ■Volume 7：ガイドライン [Guidelines] • ■Volume 8：最大残存許容量 [Maximum residue limits] • ■Volume 9：薬事安全管理 [pharmacovigilance]

EU GMP Annex

EU GMP Annex 11 Computerised System改定案　2008.4 • CSV規制のEU共通のガイドラインとして、「EU Guide to GMP」の11番目の付属書という位置づけで発行されている。 • 1997年版Annex11は、「原則」「要員」「バリデーション」「システム」の4つの枠組みからできているが、概念的であり、具体性に乏しい。 • ANNEX 11の改定版のドラフトが2008年2月にGMP/GDP Inspectors Working Group（IWG）によって承認 • 2008年4月にパブリックコメント（public consultation）募集用に発表（9ページ） • 2008年10月31日にパブリックコメントの募集を締め切った • 業界から1,400件以上のコメントが寄せられた

EU GMP Annex 11 Computerised System改定版　2011.1.13 • 2011年1月13日にANNEX 11改定版が発行された • ANNEX 11の改定に伴い、GMP Chapter 4 Documentationも変更された（電子生データの定義） • 2011年6月30日から施行（ANNEX 11、Chapter 4とも） • ANNEX 11改定版は5ページ（旧版は2ページ） • 2008年のドラフト版に比べて、強烈な要件を削除 • GAMP 5やPIC/S　「Good Practice for Computerized System in Regulated“GxP“ Environments」を参照した • 『21 CFR Part 11に対するEUの回答』という位置づけ • ANNEX 11の改定に伴い、PIC/Sガイダンスの改定も必至

改定版ANNEX 11の特徴 • Principle、General、Project Phase、OperationPhaseとGlossaryといったくくりと17の章からなる • GAMP 5やPIC/S　「Good Practice for Computerized System in Regulated“GxP“ Environments」を参照した • GAMP 5との整合性 • プロジェクトフェーズ、運用フェーズ • システムオーナ、プロセスオーナ • 21 CFR Part 11に対するEUの回答 • FDAの最新のpart11に関する解釈と期待に沿った電子記録・電子署名に関する要件 • データのインテグリティ、アベイラビリティ、機密性 • 電子生データに対する新しい要件 • 2008年のドラフト版に比べて、強烈な要件を削除 • アプリケーションはバリデーションすること。ITインフラはクオリファイすること。

改定版ANNEX 11の特徴 • リスクマネージメント（リスクベースドアプローチ）の追記 • コンピュータバリデーション • 変更管理 • 製薬企業は、リスクに基づいた、標準、プロトコール、受諾条件、手順、記録の正当化を行わなければならない • バリデーションフェーズにおける要求のトレーサビリティ（期待から要求へ） • システムがGMPを遵守し、バリデーション状態が維持できていることの定期的な評価 • サプライヤ、サービスプロバイダに関する記述の拡張 • 品質システム、監査情報の査察官への提示 • 記録を含む文書に電子署名を付すことを認める • 業務継続計画 • 最新のGMPシステムおよびそれらの機能を記載したシステムインベントリ • 自動テストツールやテスト環境に関する評価文書

改定版ANNEX 11の特徴 • Principle、General、Project Phase、OperationPhaseとGlossaryといったくくりと17の章からなる • GAMP 5との整合性 • プロジェクトフェーズ、運用フェーズ • システムオーナ、プロセスオーナ • リスクマネージメント（リスクベースドアプローチ）の追記 • コンピュータバリデーション • 変更管理 • 製薬企業は、リスクに基づいた、標準、プロトコール、受諾条件、手順、記録の正当化を行わなければならない • FDAの最新のpart11に関する解釈と期待に沿った電子記録・電子署名に関する要件 • データのインテグリティ、アベイラビリティ、機密性 • 電子生データに対する新しい要件

改定版ANNEX 11の特徴 • アプリケーションはバリデーションすること。ITインフラはクオリファイすること。 • バリデーションフェーズにおける要求のトレーサビリティ（期待から要求へ） • システムがGMPを遵守し、バリデーション状態が維持できていることの定期的な評価 • サプライヤ、サービスプロバイダに関する記述の拡張 • 品質システム、監査情報の査察官への提示 • 記録を含む文書に電子署名を付すことを認める • 業務継続計画 • 最新のGMPシステムおよびそれらの機能を記載したシステムインベントリ • 自動テストツールやテスト環境に関する評価文書

ANNEX 11改定版（2011.1） • Principle • General • Risk Management • Personnel • Suppliers and Service Providers • Project Phase • Validation • Operational Phase • Data • Accuracy Checks • Data Storage • Printouts • Audit Trails • Change and Configuration Management • Periodic evaluation • Security • Incident Management • Electronic Signature • Batch release • Business Continuity • Archiving • Glossary

ANNEX 11改定版（2011.1） ガイドラインの詳細を公表する法的根拠ヒトに使用する医薬品に関する委員会基準2001/83/EC指針第47項および動物用医薬品に関する委員会基準2001/82/EC指針第51項。この文書は、ヒトに使用する医薬品指針2003/94/ECおよび動物用医薬品指針91/412/EECに定められた医薬品製造管理および品質管理基準（GMP）の原則ならびにガイドラインの解釈のガイダンスを提供する。改定1 変更理由本Annexは、コンピュータ化システムの使用の増加およびそれらシステムの複雑性の増加に対応するため、改定された。その結果としてGMPガイドの第4章の修正も発表された。

Principle（原則） 本annexは、GMP規制作業の一部として利用されるあらゆる形態のコンピュータ化システムに適用する。コンピュータ化システムは、ソフトウェアとハードウェアといった要素の組み合せであり、双方が相まって特定の機能を満たす。アプリケーションはバリデートされていなければならず、ITインフラストラクチャは適格性が確認されていなければならない。マニュアルベースの作業をコンピュータ化システムに置き換える場合、結果として製品の品質、プロセスコントロールつまり品質保証を劣化させてはならない。プロセスの全般的なリスクが増えてもいけない。

１．Risk Management　リスク管理 エンジニアリング実践規範リスク管理は、患者の安全性、データの完全性および製品の品質を考慮したコンピュータ化システムのライフサイクルで一貫して、適用されなければならない。リスク管理システムの一部として、バリデーションとデータの完全性の管理の範囲の決定は、正当と説明のできる文書化された当該コンピュータ化システムのリスク評価に基づいていなければならない。医薬品の知識プロセス知識要件仕様および設計検証承認およびリリース運用および継続的な改善規制要件企業の品質要件リスクマネジメントデザインレビュ変更管理仕様、設計および検証プロセス

２．Personnel　要員 プロセスオーナ、システムオーナ、適格性のある担当者、およびIT等、すべての関連する要員間では、密接な協力を必要とする。すべての要員は適切な適格性、アクセスレベルおよび定義された責任を持って割り当てられた任務を果たさなければならない。

３．Suppliers and Service Providers サプライヤおよびサービスプロバイダ 3.1サードパーティ（例：サプライヤ、サービスプロバイダ等）を、コンピュータ化システムまたは関連サービスまたはデータ・プロセッシングなどの、供給、インストール、構成設定、バリデート、メンテナンス（例：リモートアクセス経由等）、変更または維持するために利用する場合は、公式な合意が製造業者とサードパーティ間で存在しなければならず、これらの合意はサードパーティの責任を明確にした文書を含まなければならない。IT部門も同様とみなされなければならない。 • サプライヤとの契約書には、品質保証に関する責任範囲を明記しておくこと。 • 自社のIT部門とも、文書で合意しておくこと。

３．Suppliers and Service Providers サプライヤおよびサービスプロバイダ 3.2サプライヤの能力と信頼性は、製品またはサービスプロバイダを選ぶ際の鍵となる要素である。監査の必要性はリスク評価に基づく。 3.3既成のソフトウェアで提供された文書は、規制関係ユーザによってレビュされ、ユーザ要件を満たしているかチェックされなければならない。 3.4品質システム、サプライヤまたはソフトウェア開発者、および実装されたシステムに関する監査情報は、査察官の要求に対応可能でなければならない。 • サプライヤオーディットを実施すること。（リスクに応じて） • パッケージに付属している文書（操作説明書）等をレビュすること。 • サプライヤオーディット報告書は、規制当局の査察の際に提示できること。

4．Validation　バリデーション 4.1バリデーション文書および報告書は、ライフサイクルの関連するステップを対象としなければならない。製造業者は、リスク評価に基づき、それらの標準、計画書、受入基準、手順および記録を正当に説明できなければならない。 4.2バリデーション文書には、変更管理の記録（該当する場合）およびバリデーションプロセス中に観察された逸脱の報告が含まれていなければならない。 • プロジェクトフェーズには、バリデーションしか存在しない。 • バリデーション文書は、成果物のこと。 • すべての成果物は、適切で妥当性があることを根拠をもって説明できること。 • 変更管理（Change Control）を行うこと。

4．Validation　バリデーション 4.3関連するすべてのシステムおよびGMP関連機能（一覧表）の最新リストが利用可能でなければならない。重要なシステムについては、物理的および論理的要素、データ・フロー、他のシステムやプロセスとのインタフェース、ハードウェアおよびソフトウェアの必要条件、ならびにセキュリティ基準の詳細を記載した最新のシステム記述書が利用可能でなければならない。 • システムインベントリ（システム台帳）を作成すること。 • システムインベントリには、GMP関連機能（プロセス=業務）を記載すること。 • 最新のシステム記述書（仕様書）を保持しておくこと。

４．Validation　バリデーション 4.4ユーザ要求仕様書は、コンピュータ化システムに要求された機能を記述し、リスク評価およびGMPへの影響に基づいていなければならない。ユーザ要求仕様書は、バリデーションのライフサイクルを通してトレーサブル（追跡可能）でなければならない。 • GAMP 5とは異なり、ユーザ要求仕様書がバリデーション文書（プロジェクトフェーズ中に作成）となっている。 • ユーザ要求仕様書は、リスク評価に伴い作成すること。 • ユーザの要求は、プロジェクト成果物に対してトレーサブルで中ればならない。すなわち、トレーサビリティマトリックスを作成すること。

４．Validation　バリデーション 4.5規制関連ユーザは、あらゆる適格な措置をとって、適切な品質管理システムに従ってシステムが開発された事を証明しなければならない。ソフトウェアのサプライヤは適切に評価されなければならない。 4.6特注のあるいはカスタマイズされたコンピュータ化システムのバリデーションに関して、システムのすべてのライフサイクルの段階にわたって、公式な評価および品質と性能の基準に関する報告を保証するプロセスが実施されなければならない。 • 規制関連ユーザ（Regulated User） ≠ ユーザ • サプライヤアセスメントを実施すること。 • サプライヤが、適切なQMSを持っていることを確認すること。 • システムが、適切なQMSに沿って開発されたことを確認すること。（サプライヤオーディット） • カテゴリ5に関しては、テストについて厳重に調査すること。

４．Validation　バリデーション 4.7適切なテスト方法とテストシナリオの証拠が、明示されなければならない。特に、システム（プロセス）パラメータリミット、データリミットおよびエラーハンドリングは考慮されなければならない。自動テストツールおよびテスト環境について、その妥当性の評価は文書化されなければならない。 4.8別のデータフォーマットあるいは別システムからデータが移行された場合、バリデーションには、この移行プロセス中にデータの値や意味が変更されていないことをチェックする作業を含まなければならない。 • テスト方法（OQ）、テストシナリオ（PQ）。 • パラメータリミット、データリミットは、OQで確認すること。 • エラーハンドリングは、PQで確認すること。 • データ移行に関するバリデーションを実施すること。（データバリデーション）

５．Data　データ 他のシステムと電子的にデータを交換するコンピュータ化システムは、正確性と入力の安全性およびデータの処理に対し、リスクを最小化するために、適切なチェック機能が組み込まれていなければならない。 • 入力ミスを阻止する機能（チェック機能）が必要。

６．Accuracy Checks　正確性チェック 手入力された重要なデータにおいては、それらのデータの正確性を追加チェックしなければならない。このチェックは、別オペレータまたはバリデートされた電子的な手段によって実施する。誤りもしくは不正確なシステムへの入力による重大性と影響の可能性は、リスク管理によりカバーされなければならない。 • 入力したデータの読合せを行うこと。

７．Data Storage　データ保管 7.1 データは損失に対し、物理的および電子的な手段で安全を確保されなければならない。保管されたデータは、アクセスの容易性、見読性および正確性をチェックしなければならない。データへのアクセスは、保存期間を通して確保されなければならない。 7.2関連するすべてのデータは、規則的にバックアップが実施されなければならない。バックアップデータの完全性および正確性、データの復元性は、バリデーション中および定期的にモニタリングしてチェックされなければならない。 • 保存性を確保すること。 • データがアクセスできることを定期的に確認すること。 • バックアップを定期的に実施すること。 • バックアップデータがリカバリ可能であることを定期的に確認すること。

８．Printouts印刷物 8.1電子的に保管されたデータについては、明確に印刷されたコピーを出力できなければならない。 8.2バッチリリースを裏付ける記録に対しては、データが原本の入力時から変更されているかどうかを示す印刷物を生成できなければならない。 • すべての電子記録は、印刷可能であること。 • バッチリリース（出荷判定）の根拠となるデータ（製造記録、品質試験記録）に関しては、入力時以降の変更履歴を印刷できなければならない。

９．Audit Trails　監査証跡 GMPに関連するすべての変更と削除の記録を作成するシステム（システム生成の‘監査証跡’）の構築は、リスク評価に基づいて考慮されるべきである。GMPに関連するデータの変更および削除に関しては、その理由が文書化されなければならない。監査証跡は入手可能で一般的に理解できる形式に変換可能で、定期的にレビュされる必要がある。 • 監査証跡機能をもつこと。 • 変更・削除の理由を文書化すること。（入力が必要というわけではない。） • 監査証跡は、規制当局に提供可能であること。 • 監査証跡は、定期的にレビュすること。

１０．Change and Configuration Management変更およびコンフィグレーション管理システムコンフィグレーションを含むコンピュータ化システムの変更は、定義されたプロシージャに従い、管理された方法のみによって実施されなければならない。 • 変更管理計画書を作成すること。 • 変更管理計画書に従って、変更を実施すること。 • 変更管理により、バリデーション状態を維持すること。

１１．Periodic evaluation　定期評価 コンピュータ化システムは、当該システムがバリデートされている状態を保持し、GMPを遵守していることを確認するため定期的に評価されなければならない。そのような評価には、必要に応じて、現行の機能の範囲、逸脱の記録、障害、問題、アップグレードの履歴、性能、信頼性、セキュリティおよびバリデーション状況の報告が含まれなければならない。

１２．Securityセキュリティ 12.1コンピュータ化システムのアクセスを認可された者に制限するため、物理的、論理的に制御しなければならない。不正エントリーを防ぐ適切な方法として、鍵、パスカード、パスワードを伴う個人コード、バイオメトリックスなどの利用、コンピュータ機器やデータ保管場所へのアクセス制限が含まれる。 • 物理的セキュリティ（施錠、入退室管理） • 論理的セキュリティ（パスワード、アクセス制御）

１２．Securityセキュリティ 12.2セキュリティ管理の範囲は、コンピュータ化システムの重大性に基づく 12.3アクセス権限の付与、変更および取消は記録されなければならない。 12.4データおよび文書の管理システムは、データ入力、変更、確認あるいは削除を行ったオペレータを、日付と時刻とともに記録するよう設計されていなければならない。 • ユーザのリスト（登録、変更、削除）を作成すること。

１３．Incident Management　障害管理 システムの故障やデータエラーのみならず、すべての障害は、報告され、評価されなければならない。重大な障害の根本的原因は、特定され、是正および予防措置の基本としなければならない。 • CAPA（Corrective Action, Preventive Action：是正措置・予防措置）を実装すること。

１４．Electronic Signature　電子署名 電子記録には電子的に署名が付されているかも知れない。電子署名には以下のことが求められる a. 企業内において、手書き署名と同等であること b. 各記録に恒久的にリンクしていること c. 署名された時刻と日付を含むこと • 電子署名（ペーパーレス）が認められた。

１5．Batch release　バッチリリース コンピュータ化システムが、承認およびバッチリリースの記録に使用される場合には、そのシステムは適格な者にのみバッチのリリースの承認を許可し、バッチをリリースした者すなわち承認した者を明確に記録しなければならない。当該作業には、電子署名を利用しなければならない。 • 電子署名はバックデートできない。（紙では容易）

１６．Business Continuity　業務の継続性 重要なプロセスをサポートするコンピュータ化システムの利用においては、システムが故障した際にプロセスの継続的サポートを供給する保証がなければならない（例えば手動および代替のシステム）。代替の方法が利用可能になるまでの要求される時間は、リスクに基づき、特定のシステムおよび支援するビジネスに対して適切でなければならない。当該処置は適切に文書化かつテストされなければならない。 • 業務継続計画書を作成すること。 • 業務継続計画書は、定期的に見直し、テストすること。

１７．Archiving　アーカイブ データはアーカイブされるかも知れない。当該データは、アクセスの容易性、見読性および完全性をチェックされなければならない。システム（コンピュータ装置またはプログラム等）に変更がなされた場合、データの抽出が可能であることが保証され、テストされなければならない。 • コンピュータ化システムを廃棄する際などには、データをアーカイブすること。 • アーカイブデータは、定期的に読み出せることをテストすること。

3 ． PIC/S & Annex 11 入門