企業版で利用可能で、アカウントに応じて有効化されます
米国連邦規則第21部第11節は、電子レコードと電子署名に関する規制を定めています。FDA規制で定義されたレコードに従って作成、保管、検索、転送、または提出される電子形式のレコードを「Part 11」と呼びます。 いくつかの特定の例外を除き、Part 11は製薬および医療機器業界、バイオテクノロジーおよびその他のFDA規制された業界に適用されます。
FDA 21 CFR Part 11は、電子レコード、電子署名、監査証跡、コンピューターシステムに関する範囲を指します。
電子記録
テキスト、数字、グラフィック、またはオーディオなどをデジタル形式で作成、変更、コンピューターシステムに保存できるものの組み合わせ
電子署名
個人が認可した、一意で特定の人に関連付けられた文字の組み合わせで、手書きの署名に相当するものです。
監査証跡
電子記録の署名がいつ行われたか、誰が署名したか、誰が送信したかなどの活動の証拠となる一連の記録です。すべての電子記録と電子署名は日時が記録され、監査証跡が必要となります。
閉じたシステムとオープンシステム
FDAは、21 CFR Part 11のための2つのタイプのシステムを定義しました。
- 閉じたシステム
- オープンシステム
Zoho Signは、 オープンシステム として分類され、世界中でデジタル署名の収集を自動化し、FDA規制を受ける組織が記録と署名の信頼性と完全性を確保するために有用な21 CFR Part 11モジュールのインダストリー標準の機能も提供します。
Zoho Signが21 CFR Part 11モジュールで提供する業界標準の機能
アカウント設定の構成をプリセット
Zoho Signはアカウントレベルの設定を強制し、21 CFR Part 11と互換性のない機能は無効になっています。 詳細はこちら 署名者の検証
文書にアクセスするには、サインする人はメール/SMSを介して受信したOTPを入力する必要があります。 OTPが検証されたら、サインする人は文書に最初の署名/初期を追加しながら再度Zoho Signアカウントにログインして認証する必要があります。 21 CFR Part 11で有効なアカウントから文書を送信および署名する方法については、 こちら をご覧ください。 受取人の名前、メールアドレス、署名時間、署名と共に、理由も可視署名で収集されます。 ここでの署名理由とは、署名に関連する意味(レビューや承認など)を指します。 署名時間とは、署名者が文書に署名を完了した時間を指します。 このメタデータは、署名された文書の電子印刷版にも利用可能です。
21 CFR Part 11 対応についてのZoho Sign
サブパートB - 電子記録
11.10 閉鎖システムの制御
システムの検証を行うことで、正確性、信頼性、想定した性能、および無効または変更されたレコードを識別する能力を確保します。 . 第11.10(a)節
Zoho Signは、機能の機能性をテストおよび検証し、システムが正しくおよび正確に電子レコードを処理できることを確認するために検証しています。
Zohoのセキュリティポリシーについて詳しくは
こちらをご覧ください。
調査、レビュー、およびコピーのために適切な人間が読める形式および電子形式の記録の複製を正確かつ完全に生成する能力。電子記録のレビューおよびコピーを行うために機関が可能かどうかに関して、質問がある場合は、機関に連絡する必要があります。 。 第11.10(b)節
- Zoho Signは、サインされた文書をダウンロードし、完了証明書とともにエクスポートするオプションを提供しています。
- これらの文書のオーディットトレイルは、csvフォーマットで表示およびダウンロードすることができます。
記録の保護により、記録保持期間中に正確かつ簡単に取り出すことができるようにする。 第11.10(c)条
- すべてのデータは、静止時にAES-256暗号化、および伝送時にSSL暗号化を使用して保護されています。
- これらの電子記録は、複数のデータベースに保存され、ユーザーはいつでも同じもののコピーをZoho Signのインターフェースからアクセスできます。
Zoho Sign におけるデータの利用可能性と保持についての詳細は こちら をご覧ください。
承認された個人にのみシステムへのアクセスを制限します。 第11.10(d)条 - 管理者は、システム構成の変更およびZoho Signシステムへの認可されたアクセスのための手順を定義する責任があります。
- Zohoは、システムへのアクセスを制限し、承認された個人のアクセスを文書化する物理的および論理的なセキュリティ制御を実装しました。
- データは、アクセス管理を利用して、プラットフォーム機能およびカスタム構成によって保護されています。
物理的なセキュリティについての詳細はこちら、ネットワークセキュリティについての詳細はこちらをご覧ください。
操作者の入力とアクション(電子レコードの作成、変更、削除)の日時を記録するための安全なコンピュータ生成の時刻印付きオーディットトレイルの使用。レコードの変更は以前のレコード情報を隠さないように行われなければなりません。このオーディットトレイルドキュメントは、電子レコードに関する要求に応じて保持される期間以上の期間を保持し、機関のレビューとコピーのために利用可能である必要があります。 第11.10(e)条 - Zoho Signのアクティビティレポートは、ドキュメントアクションの両日付と時刻をドキュメントレベルとユーザーレベルの両方に記録します。これは無効にしたり変更することはできません。
- また、完了証明書も提供され、ドキュメントアクションの履歴をキャプチャします。
- 完了証明書はPDFファイルとして、アクティビティレポートはCSV形式でエクスポートされます。
適切な順序でのステップやイベントに対する操作システムのチェックを使用します。 第11.10(f)節
- 送信者が設定したサインオーダーに従って、文書が送信されます。
- サイン要求が完了した後、Zoho Signでデジタル署名されたレコードは変更できません。
承認された個人だけがシステムを使用したり、レコードに電子署名をしたり、操作やコンピューターシステムの入出力装置にアクセスしたり、レコードを変更したり、または手元で操作を実行できるようにするための権限チェックの使用。 第11.10(g)条
- Zoho Signは、ユーザーが組織内のレコードにアクセスまたは変更する前に、アカウントの資格情報とマルチファクター認証のうちの1つをログイン方法として使用して承認します。
- Zoho Signには、権限の異なるAdminsとUsersの2つの役割があります。
- Zohoは、管理者がパスワードを作成する際に従うべき以下のパスワード構成ポリシーを持っています:
- 最小および最大文字数を選択する
- 最小数値桁および特殊文字
- 最大パスワード有効期間
- 既に使用済みのパスワードの拒否
Zohoのパスワードポリシーについて詳しくはこちらをご覧ください。
データ入力または操作指示の正当性を判断するために、(例えば端末などの)デバイスのチェックを適切に行うこと。 節 11.10(h) - Zoho Signは、デバイスとネットワークのIPアドレスを検証することができます。
- 組織は、Zoho Directoryに設定することにより、自分のIPアドレスをホワイトリストに登録することができます。
- 送信者は、モバイルブラウザを介して文書の署名を制限するオプションを持っています。
Zoho Directory の IP アドレスの設定についての詳細は こちら をご覧ください。
電子記録/電子署名システムを開発、保守、または使用する人々が、割り当てられたタスクを実行するための教育、トレーニング、および経験を持っていることを決定する。 第 11.10 (i) 項 - 組織の管理者は、ユーザーに電子署名システムの使用方法を示し、教育し、訓練することが責任です。
- Zohoは、業界標準に従って電子署名システムを開発および維持するユーザーを支援するためのさまざまな知識共有コースを提供しています。
個人が電子署名で行動を開始した際に、記録や署名の改ざんを抑止するため、書面による方針を確立し、それに従うこと。 第11.10(j)条
- 組織の管理者は、電子署名された文書の法的価値と署名者の責任を定めたポリシーを作成し、履行する責任があります。
- そうでない場合は、Zoho Signのデフォルトの法的開示が署名者に送信されます。
- 署名者は、文書アクションを開始する前にこの法的開示に同意する必要があります。
- 受信者が同意した法的開示は完了証明書の一部となります。
システム運用および保守のための文書の配布、アクセス、および使用に関する十分な管理。 第11.10(k)(1)項
システム文書の時系列に沿った開発および修正を記録する監査証跡を維持する変更管理手順。 第11.10(k)(2)項
- Zoho Signは、必要なSOP(標準作業手順)と関連文書を整備しています。
- Zoho Signはまた、FDA規制によって設定されたコンプライアンス基準が満たされていることを確認するために、管理手順文書を定期的に見直しています。
11.30 オープンシステムの制御
オープンシステムを使用して、電子レコードを作成、修正、保守、または送信する場合、作成時から受信時までの電子レコードの正確性、完全性、および必要に応じて機密性を確保するためのプロシージャとコントロールを導入しなければなりません。これらのプロシージャとコントロールには、適宜11.10で指定されたもの、および文書の暗号化や適切なデジタル署名標準などの追加措置を含みます。記録の正確性、完全性、および必要に応じて機密性を確保するために必要な場合があります。
- Zoho Signは、小規模11.10で定義されたすべての制御を実行します。オープンシステムの場合、Zoho Signは適切な措置を講じています。
- Zoho Signでは、データ保管時にAES-256、データ転送時にSSL/TLS暗号化を使用して、すべてのドキュメントを暗号化します。
- Zoho Signは、公開鍵インフラストラクチャ(PKI)基準を満たし、また 信頼できるドキュメントタイムスタンプ を提供しており、ドキュメントの正確性、完全性、機密性を維持します。
- Zoho Signでは、ドキュメントにアクセスするためにユーザーにアカウントにログインするように要求します。さらに、ユーザーは、追加のセキュリティレイヤーとしてマルチファクタ認証を設定することもできます。
- サインするには、サインするユーザーがZoho Signアカウントにログインする必要があります。
- サインするユーザーは、メール/SMSで受信したアクセスコードを入力する必要があります。
- アカウント関連のすべてのアクションは、Zoho Sign内でもCSV形式でエクスポートできるアクティビティレポートに記録されます。
- サインされたドキュメントは、ドキュメントの完全性を提供するデジタル証明書で検証されます。
- 内容または署名が変更されると、サインされたドキュメントは無効になります。
マルチファクター認証に関して詳しく知りたい場合は こちら 11.50 署名の表現
( a) 電子署名が付された記録には、以下を明確に示す関連情報が含まれる必要があります。
(1) 署名者の印字された名前;
(2) 署名が実行された日時; および
(3) 署名に関連付けられた意味(レビュー、承認、責任、または著作権など)。
Zoho Signは、可視署名を介して、これらすべての情報を収集します。
(b) この節の(a)(1)、(a)(2)、および(a)(3)の項目は、電子レコードと同じ制御を受けるものとし、電子表示または印刷などの人間が読める形式の電子レコードの一部として含まれるものとします。 - 電子レコードに適用されるすべての制御が、可視署名を追加する際にも適用されます。
- 署名のメタデータは、署名されたレコードと完了証明書にリンクされた署名された文書に存在します。
署名メタデータは、Web、ダウンロードバージョン、および署名されたレコードの印刷バージョンで表示されます。
Zoho Sign での見える署名に関する詳細はこちらをご覧ください。
11.70 署名/レコードリンク
電子署名および電子記録に対して実施された手書き署名は、それぞれの電子記録にリンクされている必要があります。これにより、署名を抜き取る、コピーする、または普通の手段で電子記録を偽造するために移動することができないようにします。
- Zoho Signは、サインプロセスが完了した後に新しい署名の追加、既存の署名の削除、および署名のコピー&ペーストを制限します。
- ユーザーが元の文書の署名を他の電子レコードに偽造、転送、またはコピーしようとすると、コピーされた署名は電子レコードにリンクされません。
サブパートC - 電子署名
11.100 一般的な要件
( a) 各電子署名は、1 人のみに固有であり、他の誰かに再利用または再割り当てされてはならない。
- Zoho Sign は、ユーザーのメールアドレスとパスワードを使用して確認します。
- 各ユーザーの電子署名は、PKI 標準に従って、一意の組み合わせの値となり、他の誰かに再利用または再割り当てすることはできません。
- ユーザーにマップされた一意のシステム生成ユーザーIDは、可視署名に表示されます。
(b) 組織が個人の電子署名、またはその電子署名の要素を設定、認定、又はその他の形で権威を与える前に、組織は個人の身元を検証するものとします。
- Zoho Signの組織に新しいユーザーを管理者が追加すると、ユーザーはアカウントを有効にするための確認メールを受け取ります。
- 組織にユーザーを追加する前に、管理者の責任でユーザーを検証する必要があります。
- ドキュメントを正しい受信者に割り当てるのは送信者の責任です。
- 21 CFR Part 11で有効なアカウントから送信されたドキュメントに署名する場合、サインした人はSMS /電子メールを介して受け取ったアクセスコードを入力してドキュメントにアクセスする必要があります。
- 最初の署名/初期フィールドを埋めるとき、サインした人はZoho Signの資格情報で自分自身を再認証しなければならず、サインした人はドキュメントの署名アクションを完了できます。
- 署名セッションが中断されたり、更新された場合は、サインした人は新しいアクセスコードを入力して署名アクションを完了するために自分自身を再認証する必要があります。
( c) 電子署名を使用する人は、その使用の前またはその使用時に、当該システムで1997年8月20日以降に使用された電子署名が伝統的な手書き署名と同等の法的効力を有することを機関に証明するものとします。
- デジタル署名で署名された文書は、多くのビジネスの契約や取引において、手書きの署名と同等の価値を持つ法的約束力を持つものです。
- Zoho Signを使用して署名された文書は、アメリカ合衆国で ESIGN 法 によって法的に準拠しています。
Zoho Sign の法的ガイドを参照することができます こちら 。 11.200 電子署名のコンポーネントとコントロール
(a) 非生体認証に基づく電子署名は、次のようにする必要があります:
(1) 少なくとも2つの異なる識別要素(識別コードとパスワードなど)を使用してください。
- ドキュメントにアクセスする際、サインャーがZoho Signアカウントに既にログインしている場合は、アクセスコードを入力してドキュメントを表示できます。
- ユーザーがまだログインしていない場合、Zoho SignはユーザーにZoho Signアカウントにログインしてからアクセスコードを入力してドキュメントを表示するように求めます。
- 最初の署名/初期フィールドを埋める際、サインャーは複数要素認証(有効になっている場合)とともにZoho Signの資格情報を再入力するように求められます。
(i) 一人が一連の署名を単一の連続した制御システムアクセス期間中に実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければなりません。2番目以降の署名は、個々の人が使用できるように設計された少なくとも1つの電子署名コンポーネントを使用して実行する必要があります。
- Zoho Signでは、サインリクエスト内の文書数やサイン/イニシャルフィールドの数に関わらず、サイナーはサインリクエストごとに1回だけ再認証を求めます。
- 連続したサインリクエストがある場合、サイナーはメール/SMSで受け取った新しいアクセスコードを入力し、毎回再認証する必要があります。
(ii) 個人が1回以上の電子署名を単一の連続的なシステムアクセス期間中に実行した場合、各署名はすべての電子署名コンポーネントを使用して実行する必要があります。
- 署名者が連続した署名動作を行わないか、署名ウィンドウを更新した場合、署名者はメール/SMS経由で受け取ったアクセスコードを再度入力し、最初の署名/初期フィールドを埋める際に自分自身を再認証する必要があります。
(2) 正当な所有者によってのみ使用されるようにする; そして
- すべての Zoho Sign ユーザーは、自身の資格情報と(有効な場合は)マルチファクター認証を使用して認証する必要があります。これらは機密であり、ユーザーのみが所有します。
- 組織がパスワードポリシーと2段階認証ポリシーを設定するのは組織の責任です。
- また、ユーザーが自身の資格情報を他の人と共有しないように教育するのも組織の責任です。
パスワードポリシーの詳細についてはこちら、マルチファクタ認証についてはこちらをご覧ください。
(3) 個人の電子署名を誰かが本物の所有者以外から使用しようとする場合には、2人以上の個人の協力が必要となるように管理・実行されるようにする。
- 許可された受信者のみが、文書に署名することができます。
- 署名者が文書に署名することができない場合は、送信者/管理者は、後で再送信するか、既存の文書の受信者を変更する必要があります。
- 送信者が不在の場合は、管理者は文書の所有権を変更することもできます。
(b) 生体認証に基づく電子署名は、本来の所有者以外の者が使用することができないように設計する必要があります。
Zoho Signは現在、生体認証に基づく文書の署名をサポートしていません。
11.300 認証コード/パスワードの制御
電子署名を使用する場合は、識別コードとパスワードの組み合わせを使用して、その安全性と完全性を確保するための制御を行う必要があります。これらの制御には次のものが含まれます。
(a) 各組み合わせの識別コードとパスワードの一意性を維持すること、すなわち、2人以上の個人が同じ組み合わせの識別コードとパスワードを持たないようにすること。
- メールアドレス、パスワード、およびユーザーIDの組み合わせが、特定のユーザーを識別します。この組み合わせは、ドキュメント内の最初の署名/初期フィールドを埋めるときにユーザーを認証するためにも使用されます。
- このメールアドレスとパスワードの組み合わせは、各ユーザーに固有です。
- サインするには、ユーザーは自分のZoho Signアカウントにメールアドレスとパスワードでログインし、メール/ SMSを介して受信したアクセスコードを入力して、21 CFR Part 11対応アカウントから送信されたドキュメントにアクセスする必要があります。
(b) 認証コードやパスワードの発行を定期的に確認、取り消し、または修正(例えば、パスワードの有効期限切れなど)することを確実にする。
- Zohoは管理者が適切なパスワードポリシーを設定するための機能を提供しています。そのパスワード設定を使用するのは管理者の責任です。
パスワードポリシーについて詳しくは
こちらをご覧ください。
(c) 失われた、盗まれた、欠落した、またはその他の潜在的に危険なトークン、カード、その他のIDコードまたはパスワード情報を含むデバイスを電子的に無効化するための損失管理手順を実施し、適切な厳格な管理を行い、一時的または永久的な交換を行う。
- 管理者には、ユーザーに損失管理とアカウントが悪用された場合にユーザーが取るべき手順を教育する責任があります。
- ユーザーはパスワードを変更できます。 詳細はこちら
- ユーザーはアカウントを閉じることができます。 詳細はこちら
- ユーザーは、Zohoアカウントでログインしたアクティブセッションと他のアプリを管理できます。 詳細はこちら
- Zoho Signの管理者は、ユーザーへのアクセスを取り消し、組織からユーザーを削除し、ドキュメント/テンプレートの所有権を変更できます。 詳細はこちら
(d) パスワードおよび/または識別コードの不正な使用を防止するためのトランザクション保護を使用し、不正な使用を検出し、システムセキュリティユニットおよび、必要に応じて組織管理部門に即時急ぎで報告する。
- ユーザーは、異なるネットワークからのログイン試行時にメールで通知されます。 詳細を学ぶ
- ユーザーは、アカウントへのアクセスを特定のIPアドレスに制限できます。 詳細を学ぶ
- ユーザーのネットワークへの脅威があった場合、アカウントは一時的にブロックされます。 詳細を学ぶ
- ユーザーが自分の資格情報を共有しないようにするのもユーザーの責任です。
(e) トークンやカードなどのデバイスの初期テストおよび定期的なテストを行い、識別コードまたはパスワード情報を持つか、または生成するデバイスが正常に機能し、不正な方法で変更されていないことを確認する。
- Zoho Signは、アカウントの識別コードやパスワード情報などの情報を生成または変更するためのデバイスやトークンを持っていません。