エンタープライズ版で利用可能です。ご要望に応じてお客様のアカウントで有効化できます。

21 CFR Part 11 とは

クローズドシステムとオープンシステム

1. クローズドシステム
   
2. オープンシステム
   

Zoho Sign における 21 CFR Part 11 への対応

サブパート B - 電子記録

11.10 クローズドシステムに対する管理要件

1. Zoho Sign では、署名済みドキュメントを完了証明書付きでダウンロードおよびエクスポートできます。
   
2. これらのドキュメントの監査証跡は画面上で確認できるほか、CSV 形式でダウンロードすることもできます。

1. すべてのデータは、保存時には AES-256 暗号化、転送時には SSL 暗号化によって保護されています。
   
2. これらの電子記録は複数のデータベースに保存されており、そのコピーは常にユーザーが Zoho Sign のインターフェイスからアクセスできる状態で利用可能です。
   

1. 管理者は、自身のシステム構成に対する変更手順と、Zoho Sign システムへの認証済みアクセスに関する手順を定義する責任を負います。
   
2. Zoho は、システムへのアクセスを制限し、認証済み個人のアクセスを記録するために、物理的および論理的なセキュリティ管理を実装しています。
   
3. データは、プラットフォームの機能とアクセス管理を利用したカスタム設定の両方によって保護されています。
   

1. Zoho Sign のアクティビティレポートでは、ドキュメント単位およびユーザー単位の両方で、すべての処理（ドキュメント操作の日付と時刻）を記録しており、これらは無効化や更新ができません。
   
2. 完了証明書も提供され、ドキュメント操作の履歴が記録されます。
   
3. 完了証明書は PDF ファイルとしてエクスポートされ、アクティビティレポートは CSV 形式でエクスポートされます。

1. ドキュメントは、送信者が設定した署名順序に従って送信されます。
   
2. 署名リクエストが完了すると、Zoho Sign 上でデジタル署名済みデータを更新することはできません。

1. Zoho Sign では、アカウントの認証情報およびログイン方法の 1 つとして多要素認証を用いてユーザーを認証し、そのうえで組織内のデータへのアクセスや変更を許可します。
   
2. Zoho Sign には、管理者と一般ユーザーの 2 種類のロールがあり、それぞれに異なる権限が付与されています。
   
3. Zoho には以下のパスワードポリシーがあり、管理者はパスワードを作成する際にこれらに従う必要があります。
   
1. 最小および最大文字数の設定
   
2. 最小の数字および特殊文字数の設定
   
3. パスワードの最長有効期間の設定
   
4. 既に使用済みのパスワードの再利用拒否
   

1. Zoho Sign は、デバイスおよびネットワークの IP アドレスを検証できます。
   
2. 組織は、Zoho Directory で IP アドレスを設定することで、自社の IP アドレスをホワイトリスト登録できます。
   
3. 送信者は、モバイルブラウザーからのドキュメント署名を制限するオプションを利用できます。
   

1. 組織の管理者は、ユーザーに対して電子署名システムの利用方法を説明し、教育および訓練を行う責任を負います。
   
2. Zoho では、電子署名システムを業界標準に沿って開発・維持するユーザーを支援するため、さまざまなナレッジ共有コースを提供しています。

1. 組織の管理者は、電子署名されたドキュメントの法的効力および署名者の責任を定めたポリシーを作成し、運用する責任を負います。
   
2. 独自のポリシーを設定しない場合、Zoho Sign のデフォルトの法的開示文が署名者に送信されます。
   
3. 署名者は、ドキュメント操作を開始する前に、この法的開示文に同意する必要があります。
   
4. 受信者が同意した法的開示文は、完了証明書の一部として含まれます。
   

1. Zoho Sign には、必要な SOP（標準業務手順書）および関連ドキュメントが整備されています。
   
2. Zoho Sign では、FDA 規制で定められたコンプライアンス基準を満たしていることを確認するため、管理手順に関するドキュメントを定期的に見直しています。
   
   

11。30 オープンシステムに対する管理

1. Zoho Sign は、サブセクション 11。10 で定められたすべての管理策に準拠しています。オープンシステムに対しても、Zoho Sign は適切な対策を講じています。
   
2. Zoho Sign 内のすべてのドキュメントは、保存時には AES-256 で暗号化され、転送中は SSL/TLS によって暗号化されます。
   
3. Zoho Sign は公開鍵基盤（PKI）標準に準拠しており、さらに 信頼できるドキュメントのタイムスタンプ機能 も提供しており、これによりドキュメントの真正性、完全性、機密性が維持されます。
   
4. Zoho Sign では、ユーザーが自分のドキュメントにアクセスする際、アカウントへのログインを求めます。さらに、追加のセキュリティ層として多要素認証を設定することもできます。
   
5. 署名者は、ドキュメントにアクセスするために自分の Zoho Sign アカウントへログインする必要があります。
   
6. その後、署名者はメールまたは SMS で受け取ったアクセスコードを入力する必要があります。
   
7. アカウントに関連するすべての処理はアクティビティレポートに記録され、Zoho Sign 上で閲覧できるほか、CSV 形式でエクスポートすることもできます。
   
8. 署名済みドキュメントにはデジタル証明書が付与されており、これによりドキュメントの完全性が保証されます。
   
9. 署名済みドキュメントの内容、または署名そのものが変更された場合、そのドキュメントは無効となります。
   

11。50 署名の表示

1. 電子データに対して適用されるすべての管理策は、可視署名を追加する際にも同様に適用されます。
   
2. 署名メタデータは署名済みドキュメント内に保持され、署名済みデータおよび完了証明書と関連付けられます。
   署名メタデータは、Web 上、ダウンロードしたバージョン、および印刷したバージョンの署名済みデータで確認できます。

11。70 署名と記録のリンク

1. Zoho Sign では、署名プロセスが完了した後、新たな署名の追加、既存署名の削除、署名のコピー＆ペーストによる元の位置からの移動を制限しています。
   
2. ユーザーが元のドキュメント署名を他の電子データへ改ざん・転用・コピーしようとしても、そのコピーされた署名は当該電子データとリンクされません。
   

Subpart C - 電子署名

11。100 一般要件

1. Zoho Sign は、ユーザーのメールアドレスとパスワードによってユーザーを認証します。
   
2. 各ユーザーの電子署名は、PKI 標準に基づく一意の値の組み合わせとなり、他者に再利用または再割り当てすることはできません。
   
3. システムが生成する一意のユーザー ID がユーザーに紐付けられ、可視署名内で確認できます。
   

1. 管理者が自組織の Zoho Sign に新しいユーザーを追加すると、そのユーザーにはアカウント有効化用の確認メールが送信されます。
   
2. ユーザーを組織に追加する前に、そのユーザーの身元を確認する責任は管理者にあります。
   
3. 正しい受信者にドキュメントを割り当てる責任は送信者にあります。
   
4. 21 CFR Part 11 対応アカウントから送信されたドキュメントに署名する場合、署名者はドキュメントにアクセスするために、SMS またはメールで受け取ったアクセスコードを入力する必要があります。
   
5. 最初の署名／イニシャルフィールドに入力する際、署名者は Zoho Sign の認証情報による再認証を求められ、完了後にドキュメントの署名操作を完了できます。
   
6. 署名セッションが中断または更新された場合、署名者は新たに受け取るアクセスコードを入力し、再度本人認証を行って署名操作を完了する必要があります。
   

1. デジタル署名で署名されたドキュメントは法的拘束力を持ち、ほとんどの法人契約および取引において手書き署名と同等の効力を有します。
   
2. Zoho Sign を使用して署名されたドキュメントは、米国の ESIGN 法に準拠しています。
   

11。200 電子署名の構成要素と管理

1. 署名者がすでに Zoho Sign アカウントにログインしている場合、ドキュメントにアクセスする際にアクセスコードを入力することでドキュメントを表示できます。
   
2. ユーザーがまだログインしていない場合、Zoho Sign はまず Zoho Sign アカウントへのログインを求め、その後アクセスコードを入力してドキュメントを表示するよう促します。
   
3. 最初の署名／イニシャルフィールドに入力する際、署名者は Zoho Sign の認証情報に加え、多要素認証（有効な場合）による再認証を求められます。
   

1. 1 回の署名依頼に含まれるドキュメント数や署名／イニシャルフィールド数にかかわらず、Zoho Sign は署名者に対し、署名依頼ごとに 1 回の再認証を求めます。
   
2. 連続した署名依頼がある場合、署名者はメール／SMS で受け取る新しいアクセスコードを入力し、各回ごとに本人認証を行う必要があります。
   

1. 署名者が連続した署名操作を行わない場合、または署名画面を更新した場合、最初の署名／イニシャルフィールドに入力する際に、メール／SMS で受け取ったアクセスコードを再入力し、再度本人認証を行う必要があります。
   

1. Zoho Sign ユーザーは、自身の認証情報および多要素認証（有効な場合）によって認証を行う必要があり、これらは機密情報でありユーザー本人のみに属します。
   
2. 組織は、自組織向けのパスワードポリシーおよび 2 要素認証ポリシーを設定する責任を負います。
   
3. また、組織には、ユーザーが自分の認証情報を他者と共有しないよう教育する責任もあります。
   

1. 割り当てられた受信者のみがドキュメントに署名できます。
   
2. 署名者がドキュメントに署名できない場合、送信者または管理者はドキュメントを回収して後で再送信するか、既存ドキュメントの受信者を変更する必要があります。
   
3. 送信者が不在の場合、管理者はドキュメントの担当者を変更することもできます。
   

11。300 識別コード／パスワードに関する管理

1. メールアドレス、パスワード、ユーザー ID の組み合わせによって、特定のユーザーが識別されます。この組み合わせは、ドキュメントで最初の署名/イニシャル項目を入力する際に、ユーザーを認証するためにも使用されます。
   
2. このメールアドレスとパスワードの組み合わせは、各ユーザーに固有です。
   
3. 署名者は、自身のメールアドレスとパスワードで Zoho Sign アカウントにログインし、メール/SMS で受信したアクセスコードを入力して、21 CFR Part 11 が有効なアカウントの差出人から送信されたドキュメントにアクセスする必要があります。
   

1. Zoho では、管理者が適切なパスワードポリシーを設定できる機能を提供しています。これらのパスワード設定を適切に運用する責任は管理者にあります。

1. 管理者は、アカウントが侵害された場合の紛失管理およびユーザーが取るべき対応について、ユーザーに周知徹底する責任があります。
   
1. ユーザーは自分のパスワードを変更できます。詳細はこちら
   
2. ユーザーは自分のアカウントを閉鎖できます。詳細はこちら
   
3. ユーザーは、自分の有効なセッションや、Zoho アカウントでログインしている他のアプリを管理できます。詳細はこちら
   
4. Zoho Sign 管理者は、ユーザーのアクセス権を取り消し、組織からユーザーを削除し、ドキュメント/テンプレートの担当者を変更できます。詳細はこちら
   

1. 異なるネットワークからログイン試行があった場合、ユーザーにはメールで通知されます。詳細はこちら
   
2. ユーザーは、自分のアカウントへのアクセスを特定の IP アドレスに制限できます。詳細はこちら
   
3. ユーザーのネットワークに脅威が検知された場合、アカウントは一時的にロックされます。詳細はこちら
   
4. また、認証情報を第三者と共有しないようにする責任はユーザー自身にもあります。
   

1. Zoho Sign には、識別コードやパスワード情報など、アカウント情報を生成または改変するためのデバイスやトークンは一切ありません。