エンタープライズエディションで利用可能で、ご要望に応じてお客様のアカウントで有効化されます

21 CFR Part 11とは？

完了済みシステムと開くシステム

1. 完了済みシステム
   
2. 開くシステム
   

Zoho Signにおける21 CFR Part 11規制

サブパートB - 電子データ

11.10 完了済みシステムに対する管理

1. Zoho Sign は、署名済みドキュメントをダウンロードし、完了証明書とともにエクスポートするオプションを提供します。
   
2. これらのドキュメントの監査証跡は表示でき、CSV形式でダウンロードすることも可能です。

1. すべてのデータは保存時にAES-256暗号化、輸送中はSSL暗号化によって保護されています。
   
2. これらの電子データは複数のデータベースに保存されており、同じ内容のコピーはいつでもユーザーがZoho Signのインターフェースから利用できます。
   

1. 管理者は、システム構成の変更手順およびZoho Signシステムへの認証済みアクセスの手順を定義する責任があります。
   
2. Zohoは物理的および論理的なセキュリティ管理策を実装し、システムアクセスを制限し、認証済み個人のアクセスを記録しています。
   
3. データは、プラットフォーム機能とカスタム設定の両方によるアクセス管理の活用によって保護されています。
   

1. Zoho Signの活動レポートは、すべての処理（ドキュメント操作の日付・時刻を含む）をドキュメントレベルおよびユーザーレベルで記録し、無効化や更新はできません。
   
2. 完了証明書も提供され、ドキュメント操作の履歴を記録します。
   
3. 完了証明書はPDFファイルとして、活動レポートはCSV形式でエクスポートされます。

1. ドキュメントは、送信者が設定した署名順に送信されます。
   
2. 署名リクエストが完了した後は、デジタル署名済みデータはZoho Signで更新できません。

1. Zoho Signは、ユーザーのアカウント認証情報および多要素認証を含むログイン方法によりユーザーを認証し、組織内のデータへのアクセスや変更を許可します。
   
2. Zoho Signには「管理者」と「ユーザー」の2つの役割があり、それぞれ異なる権限を持ちます。
   
3. Zohoには以下のパスワード設定ポリシーがあり、管理者はパスワード作成時に順守する必要があります：
   
1. 最小・最大文字数の選択
2. 最小限の数字および特殊文字の使用
3. 最大パスワード有効期間の設定
4. 既に使用中のパスワードの拒否

1. Zoho Signは、デバイスおよびネットワークのIPアドレスを検証する機能があります。
   
2. 組織はZoho DirectoryでIPアドレスを設定し、ホワイトリスト登録できます。
   
3. 送信者は、モバイルブラウザによるドキュメント署名を制限するオプションを利用できます。
   

1. 電子署名システムの利用にあたって、組織管理者はユーザーに対し、利用方法の説明および教育・訓練を実施する責任があります。
   
2. Zohoでは、電子署名システムの開発・運用を担当するユーザー向けに、業界基準に準拠した各種ナレッジ共有コースを提供しています。

1. 組織管理者は、電子署名されたドキュメントの法的価値および署名者の責任について定める規定を作成し、施行する責任があります。
   
2. 規定がない場合、Zoho Signの初期設定の法的開示が署名者に送信されます。
   
3. 署名者は、ドキュメント操作を開始する前にこの法的開示に同意する必要があります。
   
4. 受信者が同意した法的開示は、完了証明書の一部となります。
   

1. Zoho Signでは必要なSOP（スタンダードオペレーティングプロシージャ）および関連ドキュメントが整備されています。
   
2. また、FDA規制で定められたコンプライアンス基準が満たされていることを確保するため、制御手順のドキュメントも定期的に見直しています。
   
   

11。30 開放型システムの管理策

1. Zoho Signは小項目11。10で特定されたすべての管理策を順守しています。開放型システムにおいても、適切な措置を講じています。
   
2. Zoho Sign内のすべてのドキュメントは、保存時にAES-256で暗号化され、転送時にはSSL/TLS暗号化が施されています。
   
3. Zoho Signは公開鍵基盤（PKI）標準に準拠しており、 信頼できるドキュメントタイムスタンプ機能 も提供しており、ドキュメントの真正性、完全性、機密性を維持しています。
   
4. Zoho Signでは、ユーザーが自身のアカウントにログインすることでドキュメントへアクセスできるようになっています。さらに、多要素認証を追加のセキュリティ層として設定することも可能です。
   
5. 署名者は、Zoho Signアカウントにログインしてドキュメントへアクセスする必要があります。
   
6. その後、署名者はメールまたはSMSで受領したアクセスコードを入力する必要があります。
   
7. すべてのアカウント関連処理は活動レポートに記録され、Zoho Sign上で閲覧したり、CSV形式でエクスポートできます。
   
8. 署名済みドキュメントにはデジタル証明書が付与され、ドキュメントの完全性が担保されます。
   
9. ドキュメントの内容や署名が更新された場合、署名済みドキュメントは無効となります。
   

11.50 署名の表示

1. 電子データに適用されるすべての管理は、可視署名追加時にも適用されます。
   
2. 署名のメタデータは、署名済みドキュメント内に存在し、署名済みデータおよび完了証明書とリンクされます。
   署名のメタデータは、ウェブ上、ダウンロード版、および印刷版の署名済みデータで確認できます。

11.70 署名／データのリンク

1. Zoho Signは、署名プロセス完了後、新規署名の追加、既存署名の削除、署名のコピー＆ペーストによる元の位置からの移動を制限します。
   
2. ユーザーが元のドキュメント署名を他の電子データへ改ざん・移転・コピーしようとした場合、コピーされた署名はその電子データにはリンクされません。
   

サブパートC - 電子署名

11.100 一般要件

1. Zoho Signは、ユーザーのメールアドレスとパスワードで認証を行います。
   
2. 各ユーザーの電子署名はPKI標準に基づくユニークな値の組み合わせとなり、他の誰にも再利用や再割り当てはできません。
   
3. システムで自動生成されるユニークなユーザーIDがユーザーに紐付けられており、可視署名で確認できます。
   

1. 管理者がZoho Signの組織に新しいユーザーを追加すると、そのユーザーにはアカウントを有効化するための確認メールが送信されます。
   
2. 管理者はユーザーを組織に追加する前に、そのユーザーの認証を行う責任があります。
   
3. 送信者は、ドキュメントを正しい受信者に割り当てる責任があります。
   
4. 21 CFR Part 11が有効なアカウントから送信されたドキュメントに署名する際、署名者はSMSまたはメールで受け取ったアクセスコードを入力してドキュメントにアクセスする必要があります。
   
5. 最初の署名またはイニシャル項目を入力する際、署名者はZoho Signの認証情報で再認証を求められ、完了後にドキュメントの署名操作を完了できます。
   
6. 署名セッションが中断またはリフレッシュされた場合、署名者は新たに受け取ったアクセスコードを入力し、再認証を行って署名操作を完了する必要があります。
   

1. デジタル署名で署名されたドキュメントは、ほとんどの法人契約や取引において手書き署名と同じ効力を持ち、法的に有効です。
   
2. Zoho Signを利用して署名されたドキュメントは、米国のESIGN法に準拠しています。
   

11.200 電子署名の構成要素および管理

1. 署名者がすでにZoho Signアカウントにログインしている場合、ドキュメントへアクセスするためにアクセスコードを入力できます。
   
2. まだユーザーがログインしていない場合は、Zoho Signがログインを促し、その後アクセスコードを入力してドキュメントを表示できます。
   
3. 最初の署名またはイニシャル項目を入力する際、署名者は有効な場合は多要素認証とともにZoho Signの認証情報を再入力するよう求められます。
   

1. 署名依頼内のドキュメント番号や署名/イニシャル項目番号に関わらず、Zoho Signは署名者に対して1回の署名依頼ごとに再認証を求めます。
   
2. 複数の署名依頼が連続している場合、署名者はメールやSMSで受け取った新規アクセスコードを入力し、その都度再認証する必要があります。
   

1. 署名者が継続的な署名操作を行わない、または署名ウィンドウを更新した場合は、メールやSMSで受領したアクセスコードを再入力し、最初の署名/イニシャル項目入力時に再認証が必要です。
   

1. Zoho Signユーザーは、認証情報および（有効な場合）多要素認証で認証する必要があり、これらは機密であり本人のみが使用する必要があります。
   
2. 組織は自社のパスワード規定および2要素認証規定を設定する責任があります。
   
3. また、ユーザーが認証情報を他者と共有しないよう教育する責任も組織にあります。
   

1. 割り当てられた受信者のみがドキュメントに署名できます。
   
2. 署名者がドキュメントに署名できない場合、送信者または管理者は後で再送信するか、既存ドキュメントの受信者を変更してください。
   
3. 送信者が利用不可の場合は、管理者がドキュメントの担当者を変更することもできます。
   

11.300 識別コード／パスワードの管理

1. メールアドレス、パスワード、およびユーザーIDの組み合わせは、特定のユーザーを識別します。この組み合わせは、ドキュメントの最初の署名や初期項目を入力する際のユーザー認証にも使用されます。
   
2. このメールアドレスとパスワードの組み合わせは、各ユーザーごとに固有です。
   
3. 署名者は、自身のZoho Signアカウントにメールアドレスとパスワードでログインし、アクセスコード受領手段（メール/SMS）を入力して、21 CFR Part 11有効アカウントの差出人から送信されたドキュメントにアクセスする必要があります。
   

1. Zohoは、管理者が適切なパスワード規定を設定できる機能を提供しています。これらのパスワード設定を運用する責任は管理者にあります。

1. アカウントが危険にさらされた場合の紛失管理やユーザーが取るべき対応について、管理者がユーザーに周知する責任があります。
   
1. ユーザーは自身のパスワードを変更できます。詳細はこちら
   
2. ユーザーは自身のアカウントを閉じることができます。詳細はこちら
   
3. ユーザーはZohoアカウントでログイン中の有効なセッションやその他のアプリを管理できます。詳細はこちら
   
4. Zoho Signの管理者は、ユーザーのアクセス権の取り消し、組織からのユーザーの削除、ドキュメントやテンプレートの担当者の変更が可能です。詳細はこちら
   

1. 異なるネットワークからログインが試行された場合、ユーザーにはメールで通知されます。詳細はこちら
   
2. ユーザーは自身のアカウントアクセスを特定のIPアドレスに制限できます。詳細はこちら
   
3. ユーザーのネットワークに脅威が検出された場合、アカウントは一時的にロックされます。詳細はこちら
   
4. また、ユーザー自身も認証情報を第三者と共有しないようにしてください。
   

1. Zoho Signでは、識別コードやパスワード情報などアカウント情報を生成または変更するためのデバイスやトークンは提供していません。