お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の
英語版を参照してください。
エンタープライズエディションで利用可能で、ご要望に応じてアカウントで有効化されます。
European Union(EU)Annex 11は、Good Manufacturing PracticeのEudraLex音量4の一部であり、医薬品メーカー、医療機器製造業者、人用および動物用医薬品流通業者など、EU市場で事業を行うライフサイエンス業界向けの基準を定めています。これらのガイドラインは、時代とともに技術の進歩や医薬品業界の変化に対応するために更新されてきました。
EU Annex 11の各セクションでは、コンピュータ化システムの導入および運用の各段階において体系的なアプローチと明確な指示が示されています。システムとそのITインフラの検証および適格性確認の重要性が強調されています。EU GMPの基本原則に沿うため、EU Annex 11ではコンピュータ化システムが手動操作を置き換える際、次の点があってはならないとしています。
- 製品品質の低下
- プロセス管理レベルの低下
- 品質保証基準の低下
- プロセス全体のリスク増加
Zoho Signは、EU GMP Annex 11の規制遵守を支援するコンピュータシステムとして分類されています。EU GMP Annex 11は、以下の3つのパートに分かれています。
- 一般
- プロジェクトフェーズ
- 運用フェーズ
一般
1. リスク管理
リスク管理は、患者の安全性、データの完全性、製品品質を考慮しながら、コンピュータ化システムのライフサイクル全体を通じて適用する必要があります。リスク管理システムの一環として、検証の範囲やデータ完全性管理の決定は、コンピュータ化システムの正当化された文書化されたリスク評価に基づく必要があります。
- Zoho Signは、変更を行う際にも、システムが意図した目的を満たし、期待通りに動作することを保証するため、明確な検証戦略を策定しています。
- Zoho SignはISO 9001に準拠しており、Clause 4からClause 10に記載されたリスク管理をカバーするアプローチを採用しています。また、ISO/IEC 27001にも準拠しており、Clause 6.1ではリスクと機会への対応が規定されています。
Zoho Signを利用する組織は、ユーザーへの文書化および教育を行い、必要なリスク管理を実施する責任があります。具体的には、次の対応が求められます。
- Zoho Signの利用時に関係する患者の安全性、データ完全性、製品品質に関するリスクを評価し、組織が定義したリスクが発生した場合に排除するための対策を実施すること。
- 定義したリスクをリスクアセスメントの一部として文書化すること。
2. 人員
プロセス担当者、システム担当者、有資格者、ITなど、すべての関係者間で密接な協力が求められます。すべての人員は、適切な資格、アクセスレベル、明確に定義された責任を有し、それぞれの職務を遂行する必要があります。
- すべてのZoho従業員は、顧客に約束した必須基準および認証に関する定期的なトレーニングを受ける必要があり、データプライバシー、保護、完全性などの分野もカバーします。従業員が自らの役割と責任を果たすことが重要です。
Zoho Signを利用する組織は、Zoho Signが承認済み基準に適合しているかを定期的に再評価し、次のプロセスを実施する責任があります。
- ユーザーが電子データを教育・管理できるようにする。
- Zoho Signの利用を管理し、アプリケーションの利用前に送信者・署名者双方へ十分なトレーニングを提供する。
- システムの管理処理を行う前に、システム管理者へ十分なトレーニングを実施する。
3. サプライヤーおよびサービスプロバイダー
3.1 サードパーティ(例:サプライヤー、サービスプロバイダー)を利用して、コンピュータ化システムや関連サービスの提供、設置、設定、連携、認証、保守(例:リモートアクセスによる)、変更、保持、またはデータ処理を行う場合、製造業者とサードパーティ間で正式な契約が必要です。これらの契約には、サードパーティの責任範囲を明確に記載する必要があります。IT部門も同様に考慮してください。
- Zoho Signは、Zoho Signのデータを保管または処理するサードパーティの仕入先と、リスク低減策を確保した正式な契約を締結しています。
- Zoho Signは、定義された仕入先管理プロセスに基づき、仕入先のコンプライアンスも評価しています。
3.2 仕入先の能力と信頼性は、製品やサービスプロバイダーを選定する際の重要な要素です。監査の必要性はリスク評価に基づいて判断してください。
- Zoho SignはISO 9001に準拠しており、8.4条項でプラットフォームが遵守する外部計画が明記されています。
- Zoho Signはすべての仕入先を定期的に監査しています。
- Zoho Signを利用する組織は、電子署名ソリューションプロバイダーとしてZoho Signを認定するための販売者評価手順を文書化し、遵守する必要があります。
3.3 市販のパッケージ製品に付随するドキュメントは、規制対象ユーザーによりユーザー要求事項が満たされているか確認のためにレビューされるべきです。
Zoho Signは市販パッケージソリューションではありません。
3.4 サプライヤーやソフトウェア開発者、導入済みシステムに関連する品質システムおよび監査情報は、要求があれば監査官に提供できるようにしてください。
- Zoho Signは、GDPR、SOC 2 タイプ2、ISO 27001など、複数の基準・規制・認証に準拠しており、ユーザーはダウンロード可能です。手順は定期的に実施され、不整合がないか確認し、結果は販売者評価規定に基づき文書化されます。
Zoho Signを利用する組織は以下を責任を持って行います:
- 電子署名ソリューションとしてZoho Signを認定するための販売者評価手順を文書化し、遵守する。評価には、サードパーティレポートやその他必要なコンプライアンス証明書のレビューが含まれる場合があります。
- ユーザー要件を満たすシステム運用をサポートするために、Zoho Signから提供されるすべてのドキュメントを確認する。
プロジェクトフェーズ
4. バリデーション
4.1 バリデーションのドキュメントおよびレポートは、ライフサイクルの関連するステップを網羅する必要があります。製造業者は、自身の基準、プロトコル、受入基準、手順、データについて、リスク評価に基づき説明できる必要があります。
- Zoho Signは、適用対象となるライフサイエンス規制に従い、必要なバリデーションレポートを作成してシステムをバリデートします。
- また、Zoho SignはHIPAA、SOC 2 タイプ2、ISO/IEC 27001、ISO 9001などの業界標準にも準拠しています。
4.2 バリデーションドキュメントには、変更管理データ(該当する場合)およびバリデーションプロセス中に観察された逸脱事項に関する報告を含める必要があります。
- Zoho Signは、ISO 9001に準拠した必要な変更管理および影響評価手順を備えています。
- Zoho Signは、システム変更を分類、追跡、管理、および監視するための必要なSDLC手順を有しています。
- Zoho Signを利用する組織は、必要な変更管理手順を遵守する責任があります。
4。3 関連するすべてのシステムとそのGMP機能(インベントリ)の最新リストが利用可能である必要があります。重要なシステムについては、実体的および論理的な構成、データフロー、他のシステムやプロセスとのインターフェース、必要なハードウェアおよびソフトウェアの前提条件、セキュリティ対策を詳細に記載した最新のシステム説明書が利用可能である必要があります。
- Zoho Signは、資産を管理するために必要な管理策を実施しています。
- Zoho Signは、アーキテクチャ設計およびプロセス説明を含む、基準やSOC 2タイプ2に準拠したシステム説明書を提供しています。
4。4 ユーザー要求仕様書(URS)は、コンピュータ化システムの必須機能を記述し、文書化されたリスク評価とGMPへの影響に基づく必要があります。ユーザー要求はライフサイクル全体を通じて追跡可能でなければなりません。
- ユーザー要求仕様書(URS)ドキュメントは、最終ユーザーの視点から商品の具体的なニーズ、期待、要件を明確にし、バリデーションの基礎となります。
- URSは、商品が持つインターフェースやワークフローを含めたシステム機能を明確にする技術仕様の基盤としても活用されます。
- 変更管理手順が整備されており、システムへの変更は管理された方法で実施され、すべての変更がテストされ、観察事項が文書化されます。
- URSは、システムの設計および開発の初期フレームワークを提供し、これをもとにユーザーインターフェース設計やバックエンドフローなどの仕様が文書化されます。
4。5 規制対象のユーザーは、システムが適切な品質マネジメントシステムに従って開発されていることを確実にするために、あらゆる合理的な措置を講じる必要があります。仕入先も適切に評価されなければなりません。
- Zoho Signは、安全なソフトウェア配信およびサービスを確保するために必要なSDLC手順を実施しています。
組織がZoho Signを利用する際の責任:
- 自社要件に応じたプロセスの頻度手順を検証すること。
- システムの意図した機能を認証するために必要な管理手順を設計・維持すること。
4。6 オーダーメイドまたはカスタマイズされたコンピュータ化システムのバリデーションには、システムのライフサイクル全段階にわたる品質およびパフォーマンス指標の正式な評価および報告を保証するプロセスが必要です。
- Zoho Signは、バリデーション成果物を準備することでシステムを検証しています。また、ツールの意図した要件を満たすために、ユーザーにバリデーションパッケージも提供しています。
- 組織はZoho Signをカスタマイズすることができ、そのカスタマイズの品質およびパフォーマンスの管理は組織の責任となります。
4。7 適切なテスト方法およびテストシナリオの証拠を示す必要があります。特に、システム(プロセス)パラメータの上限・下限、データの上限・下限、エラー処理を考慮する必要があります。自動テストツールやテスト環境についても、その妥当性の評価が文書化されていなければなりません。
- Zoho Signは、バリデーションパッケージを維持しており、バリデーション時にはパラメータ制限、データ制限、エラー処理方法を考慮します。
- すべてのテストケースは文書化され、利用できる状態でなければなりません。
4。8 データが別のデータ形式やシステムに移行される場合、この移行プロセスでデータの値や意味が変更されていないことを確認するチェックをバリデーションに含める必要があります。
- Zoho Signは業界のベストプラクティスに従い、ISO 9001にも準拠しています。
- 必要なプロセスが明確に定義されており、商品の機能がテストされ、観察事項が文書化されています。
- ユーザー要求仕様書(URS)は、エンドユーザーの視点から見た商品に対する具体的なニーズ、期待、要件を明確にし、バリデーションの基盤となります。
- URSは、技術仕様の基礎となり、商品のインターフェースやワークフローなど、システムの機能を明確にします。
- URSはシステム設計・開発の初期フレームワークを提供し、この設計に基づき、ユーザーインターフェース設計やバックエンドフローなどの仕様が文書化されます。
- 運用時およびパフォーマンスの適格性確認フェーズが実施されます。運用時適格性確認では、テストケースを実行し、システムが期待通りに動作することを確認します。パフォーマンス適格性確認では、アプリケーションが実際のデータ量を処理できるか評価し、システムの応答性と安定性を確保します。
- また、文書化された要件を満たすためのテストも実施されます。
- これらのバリデーションの結果や逸脱事項は、包括的なバリデーションレポートとして記録されます。
- バリデーション後、システムに変更を加える際は堅牢な変更管理プロセスが適用されます。
- すべての変更はリリースとしてまとめられ、 リリースメモを通じて公開されます。
運用フェーズ
5. データ
他のシステムと電子的にデータを交換するコンピュータ化システムには、データの正確かつ安全な入力・処理を確保するための適切な内蔵チェック機能が含まれている必要があり、リスクを最小限に抑えることが求められます。
- Zoho Signのすべての電子データは、保存時にAES-256で、送信時にはSSL/TLS暗号化が施されています。
- Zoho Signでは、「順番に送信」オプションが用意されており、電子ドキュメントを署名者に順次送信できます。
- アプリケーション外で機密性の高い電子データ(署名データや活動履歴)を取り扱う際は、データの完全性およびシステムのセキュリティの両方を遵守する責任は組織にあります。
6. 正確性チェック
重要なデータを手動で入力する場合は、データの正確性を追加で確認する必要があります。この確認は、別の担当者または検証済みの電子的手段によって実施できます。システムに誤った、または不正確に入力されたデータが及ぼす重要性と潜在的な影響は、リスクマネジメントでカバーされなければなりません。
- Zoho Signは、システムに入力されたすべてのデータを重要なデータとして取り扱い、送信時・保存時ともに暗号化します。
- Zoho Signでは、電子データ送信後に内容を変更することはできません(電子データを重要データとして扱います)。あらかじめ定義されたバリデーションを行い、組織ごとに設定が可能です。
- Zoho Signは、改ざんできない署名処理のデータを生成し、活動レポートおよび完了証明書の両方に記録します。
7. データ保存
7.1 データは、物理的および電子的手段の両方で損傷から保護されなければなりません。保存されたデータは、アクセス可能性、可読性、正確性が確認される必要があります。保存期間全体を通じてデータへのアクセスが確保されている必要があります。
- すべてのデータは、保存時にAES-256暗号化、転送中にSSL暗号化を利用して保護されています。
- Zoho Signは公開鍵基盤(PKI)標準に準拠しており、信頼できるドキュメントタイムスタンプ機能も提供しています。これにより、ドキュメントの真正性、完全性、機密性が維持されます。
- Zoho Signの活動レポートは、すべての処理(ドキュメント操作の日付および時刻)をドキュメントレベルとユーザーレベルの両方で記録します。この記録は無効化または更新できません。
7.2 関連するすべてのデータの定期的なバックアップが実施されるべきです。データバックアップの完全性と正確性、ならびにデータの復元可能性は、バリデーション時に確認し、定期的に監視してください。
- 電子データは暗号化され、データとともに複数のデータベースに保存されます。
- すべてのデータは、Zoho Signアカウントが有効な限り保持されます。ただし、ユーザーが削除した場合を除きます。
- Zoho Signを利用する組織の責任:
- ダウンロードまたは印刷したデータを安全に管理すること。
- アプリケーションから削除する前に、すべての電子データのバックアップを保持していること。
8. 印刷物
8.1 電子的に保存されたデータの鮮明な印刷コピーを取得できる必要があります。
- Zoho Signでは、ユーザーが署名済み電子データおよびその活動レポートを表示または印刷できます。ダウンロードしたドキュメントはPDFビューアや紙に印刷して閲覧できます。
- 可視署名の場合、署名のメタデータはダウンロード版および印刷版でも表示されます。
- Zoho Signを利用する組織は、印刷データの現物セキュリティを確保する責任があります。
8.2 バッチリリースをサポートするデータについては、元の内容入力以降にデータが変更されているかどうかを示す印刷物を生成できる必要があります。
9. 監査証跡
リスク評価に基づき、システムにはGMPに関連するすべての変更および削除のデータ(システム作成済みの「監査証跡」)を記録する機能を組み込むことを検討してください。GMP関連データの変更や削除については、その理由を記録する必要があります。監査証跡は利用可能で、一般的に理解可能な形式に変換でき、定期的にレビューされる必要があります。
- Zoho Signの活動レポートは、ユーザーおよびドキュメントの両方のレベルで、すべての処理をログに記録します。誰が操作を実行したか、どの操作が実行されたか、どの電子データやその他の設定に対して実施されたかの詳細が含まれています。
- この監査証跡は更新や削除ができないため、整合性の証明となり、改ざんを防止します。
- この活動レポートは自動で有効化されており、ユーザーによって無効化することはできません。Zoho SignのUI上でオンライン表示するか、CSV形式でエクスポートできます。
- 活動レポートおよび関連付け済みの署名済みドキュメントは、完了証明書とともにダウンロード可能です。
- 完了証明書には、署名イベントの頻度、署名者の名前、メールアドレス、署名理由が記録されます。
- 活動レポートや完了証明書に表示されるタイムスタンプは、ユーザーがZohoアカウントで設定したタイムゾーンに従っています。
- Zoho Signを利用する組織は、記録された活動履歴を定期的にレビューする責任があります。
10. 変更および構成管理
システム設定を含むコンピュータ化システムへの変更は、定められた手順に従い、管理された方法でのみ実施されるべきです。
- Zoho Signは、影響評価や変更リクエスト文書化を含む、システムへの変更を管理するプロセスを確立しています。
- Zoho Signはシステム設計に関連するすべての変更を記録します。また、すべての機能リリースや改善をリリースメモで公開しています。
11. 定期評価
コンピュータ化システムは、引き続き有効な状態でありGMPに準拠していることを確認するため、定期的な評価が必要です。これらの評価には、必要に応じて、現在の機能範囲、逸脱データ、インシデント、問題、アップグレード履歴、パフォーマンス、信頼性、セキュリティ、バリデーションステータスレポートが含まれます。
Zoho SignはISO 9001に準拠しており、プロセス管理、文書化、不適合管理を要件としています。これはGMPの原則に沿った逸脱やインシデントにも適用され、システムは年1回の評価を受けています。
12. セキュリティ
12.1 実地および/または論理的な管理策を設け、認証された者のみがコンピュータ化システムにアクセスできるよう制限すべきです。システムへの不正アクセスを防ぐ適切な方法には、鍵、パスカード、パスワード付きの個人コード、生体認証、コンピュータ機器およびデータ保管エリアへのアクセス制限が含まれます。
- Zohoは実地および論理的なセキュリティ管理策を実装し、システムへのアクセスを制限し、認証された個人のアクセスを記録しています。
- データは、プラットフォーム機能およびアクセス管理を活用したカスタム設定の両方によって保護されています。
- Zoho Signはアカウント認証情報および多要素認証によってユーザーを認証し、その後で組織内のデータへのアクセスや変更を許可します。
- Zoho Signにログインするには、ユーザーは自分の認証情報(メールアドレスとパスワード)を入力して認証する必要があります。
12.2 セキュリティ管理策の範囲は、コンピュータ化システムの重要度に依存します。
- Zoho には以下のパスワード設定ポリシーがあり、管理者はパスワード作成時にこれらを遵守する必要があります。
- 最小および最大の文字数を選択します。
- 最小の数字および特殊文字数を設定します。
- 最大パスワード有効期間を決定します。
- 以前のパスワードの再利用を禁止します。
- ドキュメントの重要度に応じて、送信者はZoho Signが提供する認証方法のいずれかを利用して署名者に本人確認を要求できます。
- メール/SMS OTP
- オフラインOTP
- EU eIDによる受信者認証
- 知識ベース認証による受信者認証
12.3 アクセス権限の作成・変更・取り消しは記録される必要があります。
- Zoho Signの活動レポートは、すべての処理(ドキュメント操作の日付と時刻の両方)をドキュメントレベルおよびユーザーレベルで記録します。これは無効化や更新はできません。
- さらに、ユーザーのアカウント活動(ログイン試行やログイン成功など)も監視できます。
12.4 データおよびドキュメントの管理システムは、データの入力・変更・確認・削除を行うオペレーターの身元、日付、時刻を特定できるよう設計されるべきです。
- Zoho Signは、役割ベースのモデルを用いて認可とシステムアクセスを制御します。
- 管理権限を持つユーザーは、システムへユーザーの追加や割り当てが可能です。
- 特定の機能へのアクセスは管理者のみが可能となります。
- Zoho Signの活動レポートは、すべての処理(ドキュメント操作の日付と時刻の両方)をドキュメントレベルおよびユーザーレベルで記録します。これは無効化や更新はできません。
- Zoho Signを利用する組織は、以下の事項について責任を負います。
- 自組織のパスワード規定および二要素認証規定の設定
- ユーザーに対し、認証情報を他者と共有しないことの教育
- システム構成変更およびZoho Signシステムへの認証済みアクセスの手順定義
13. インシデント管理
すべてのインシデントは、システム障害やデータエラーに限らず報告・評価される必要があります。重大なインシデントの根本原因を特定し、是正および予防処置の根拠とする必要があります。.
- Zohoには、インシデント管理専任チームがあり、インシデントの記録・追跡・解決を含む確立された手順により適切な是正処置を実施しています。
- また、関係者が各種媒体を通じて違反を認識できるよう、違反通知プロセスも用意しています。
14. 電子署名
電子データは電子的に署名することができます。電子署名には以下が求められます。
- 社内において手書きの署名と同等の効力を持ちます。
- 各データに恒久的に紐付けられます。
- 申請された時間および日付が含まれます。
- デジタル署名で署名された電子データは法的効力を持ち、多くの法人契約や取引において手書き署名と同等の価値があります。
- Zoho Signで署名されたドキュメントはeIDAS規則に準拠しています。
- ただし、各組織は自社の法務チームと、地域における署名済みドキュメントの法的効力について協議する必要があります。
- すべての電子データには、署名者の名前・署名日・実行理由を収集する見える署名が付与されます。
- 署名済みデータには署名のメタデータが記録されます。不正な改ざんがあった場合、改ざんされた署名は電子データと連携されません。
15. 法人 Continuity
重要なプロセスを支えるコンピュータ化されたシステムの可用性を確保するために、システム内訳が発生した場合でも、そのプロセスのサポートを継続できるような対応策(例:手動または代替システム)を講じる必要があります。代替手段を使用可能な状態にするまでに必要な時間は、リスクに基づき、各システムおよび対応する法人プロセスに適したものとする必要があります。これらの対応策は十分に文書化され、テストされるべきです。
- Zohoのデータセンターは複数の地理的拠点に配置され、24時間365日体制で監視されています。
- 災害発生時には、Zohoは法人継続性および災害復旧(BC/DR)プランに基づいて運用される体制を整えています。
- データセンター内の各コンポーネントは冗長性を考慮して設計されており、DRサイトはメインサイトからの有効なレプリケーションを提供し、メインサイトに障害が発生した場合に運用を引き継ぎます。
- 少なくとも年1回、法人継続性プラン(BCP)準拠の一環としてDRサイトを起動し、システムの可用性を確保するためのテストが実施されます。
データセンターの地理的ロケーションは こちらからご覧いただけます。
Zoho Signの冗長性と可用性の詳細はこちらをご参照ください。
アプリケーションの可用性ステータスは こちらでご確認いただけます。
16. アーカイブ
データはアーカイブ済みである場合があります。このデータについては、アクセス性、可読性、完全性が確保されているか確認する必要があります。システムに関連する変更(例:コンピュータ機器やプログラムの変更)を行う場合には、データの取得が確実に行えることを保証し、テストする必要があります。
- 電子データおよびそれに付随する情報は暗号化され、複数のデータベースに保存されています。同じ情報のコピーは、Zoho Signのインターフェイスからユーザーがいつでも利用可能です。
- ユーザーが削除操作を行うまで、すべてのデータはZoho Signアカウントが有効な限り保持されます。
Zoho Signのアカウント無効規定の詳細は
こちらをご覧ください。
Zoho Signにおけるデータ可用性の詳細は
こちらをご参照ください。