食品医薬品局 CFR タイトル 21 パート 11
FDA CFR タイトル 21 の概要
連邦規則コード (CFR) には、米国連邦政府の執行部および機関の規則と規制が含まれています。 CFRの50タイトルのそれぞれは、異なる規制領域に対処します。
FDA CFR Title 21 は、食品医薬品局 (FDA)、薬物取締局、および国家医薬品管理政策局の管轄下にある、米国で製造または消費される食品および医薬品を規制しています。 CFR タイトル 21 パート 11 に記載されている規制は、FDA の監督の対象となる組織によって使用される情報を管理するテクノロジ システムの基本規則を設定します。 良い実験室の練習(GLP)、よい臨床練習(GCP)、よい製造業の練習(GMP)のようなGxPプロセスを管理する技術システムはまたGxPへの付着の検証を要求する。
CFR Title 21 Part 11 では、電子レコードと署名が信頼でき、信頼性が高く、同等の代替品として紙のレコードや手書き署名に置き換わるよう要件を設定します。 また、FDA 規制業界のコンピューター システムのセキュリティを向上させるためのガイドラインを提供します。. 対象企業は、プロセスと製品が設計どおりに機能することを証明する必要があり、これらのプロセスと製品が変更された場合は、その証明を再検証する必要があります。 ベスト プラクティスのガイドラインには、次のものが含まれます。
- データ バックアップ、セキュリティ、コンピューター システム検証などの電子レコードと署名をサポートする標準的な操作手順とコントロール。
- コンピューター システムが安全であることを確認し、データ値の監査証跡を含み、電子署名の整合性を確保する機能。
- システムが意図した動作を行い、システムが設計どおりに動作していないときにユーザーが検出できることを示す検証とドキュメント。
Microsoft および FDA CFR タイトル 21
Microsoft エンタープライズ クラウド サービスは、通常の独立したサードパーティの SOC 1 Type 2 および SOC 2 Type 2 監査を受け、ISO/IEC 27001 および ISO/IEC 27018 標準に従って認定されています。
これらの定期的な監査と認定資格は、特に FDA 規制コンプライアンスに焦点を当てませんが、その目的と目的は CFR Title 21 Part 11 と本質的に類似しており、Microsoft クラウド サービスに格納されているデータの機密性、整合性、可用性を確保するのに役立ちます。 当社の資格アプローチは、国際製薬工学協会(ISPE)GAMPシリーズのグッドプラクティスガイドや、規制されたGxP環境におけるコンピュータ化されたシステムのための医薬品検査協力スキーム(PIC/S)の良いプラクティスなど、業界のベストプラクティスにも基づいています。
お客様は、機密保持契約の使用条件に従って、Microsoft アカウントの担当者または サービス 信頼ポータルを通じて、コンプライアンス レポートへのアクセスを要求できます。
対象となる Microsoft のクラウド プラットフォームとサービス
CFR Title 21 Part 11 に準拠するための認定はありませんが、次の Microsoft エンタープライズ クラウド サービスは、独立したサードパーティの監査を受けています。これは、お客様のコンプライアンス作業に役立つ可能性があります。 これらのサービスには、次のものが含まれます。
- Azure: Cloud Services、Storage、Traffic Manager、Virtual Machines、Virtual Network
- Azure DevOps
- Intune
- Dynamics 365、Dynamics 365 U.S. Government
- Office 365 および Office 365 米国政府
監査、レポート、証明書
SOC 1 および SOC 2 タイプ 2、ISO/IEC 27001、および ISO/IEC 27018 標準の監査レポートは、Microsoft が実装したコントロールの有効性を証明しており、お客様が FDA CFR Title 21 Part 11 に準拠するのに役立つ可能性があります。
よく寄せられる質問
この標準はだれに適用されますか?
FDA CFR タイトル 21 Part 11 は、ライフサイエンス製品の研究、臨床研究、メンテナンス、製造、および配布の FDA 規制の側面を扱う製品とサービスを持つ組織に適用されます。
Microsoft エンタープライズ クラウド サービスは、FDA CFR Title 21 Part 11 への準拠をどのように示していますか?
MICROSOFT は、SOC 1 Type 2、SOC 2 Type 2、ISO/IEC 27001、ISO/IEC 27018 について第三者が作成した正式な監査を使用して、これらのレポートに示されている関連するコントロールが要件にどのように対応しているかを示すことができます。
Microsoft によって実装された監査コントロールは、データの機密性、整合性、可用性を確保するのに役立ち、Microsoft の責任として特定されたタイトル 21 パート 11 で定義されている適用される規制要件に対応します。 Azure の修飾ガイドラインとOffice 365、Microsoft 監査コントロールがこれらの要件にどのように対応しているかを詳しく説明します。
監査人のレポートのコピーを取得するにはどうすればよいですか?
Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。 ポータルを使用して監査レポートを要求して、監査者が Microsoft のクラウド サービスの結果を独自の法的および規制上の要件と比較できるようにすることができます。
organizationの認定プロセスで Microsoft のコンプライアンスを使用できますか?
はい。 IEC/ISO 27001、ISO/IEC 27018、SOC 1、SOC 2 標準の独立したサード パーティのコンプライアンス レポートは、Microsoft コントロールの有効性を証明しています。 Microsoft エンタープライズ クラウドのお客様は、独自の CFR タイトル 21 Part 11 のリスク分析と認定作業の一環として、これらの関連レポートで説明されている監査されたコントロールを使用できます。 FDA 規制の対象となるアプリケーションを構築して展開するお客様は、アプリケーションが FDA の要件を満たしていることを確認する責任があります。
この標準への準拠を維持するうえで Microsoft にはどのような責任がありますか?
Microsoft は、エンタープライズ クラウド サービスが、管理する オンライン サービス条項 と該当するサービス レベル アグリーメント (SLA) 内で定義されている条件を満たしていることを確認します。 これらの用語は、システムのセキュリティ保護と監視に適したコントロールを実装および維持する責任を定義します。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。