セキュリティとコンプライアンス21 CFR Part 11
eSignGlobal 21 CFR Part 11 コンプライアンス レポート
コンプライアンス分析
以下は 21CFR Part11 法規の翻訳です
Subpart B—電子記録 Electronic Records
Part11 11.10-クローズドシステムの管理 Controls for closed systems.
クローズドシステムを使用して電子記録を生成、修正、保守、または送信する担当者は、記録の信頼性、完全性、および必要に応じて機密性を保証できる手順と管理方法を採用し、署名者が署名した非真正記録を容易に否認できないようにする必要があります。手順と管理の内容には、以下が含まれます。
(a)システムの検証により、意図されたパフォーマンスの正確性、信頼性、および無効な変更記録を識別する能力を確保します。
| 応答 | eSignGlobal は SAAS 製品として、ソフトウェアの開発、テスト、およびリリースはサプライヤーが担当し、規制対象企業は検証活動を完了するためにサプライヤーのサポートが必要です。 eSignGlobal は、完全な品質管理システムを確立し、CMMI 認証を取得しています。標準化されたプロセスを通じて、設計、開発、テスト、リリース管理を含むソフトウェア製品のライフサイクル管理を実施し、完全な記録を保存しています。顧客の検証活動をサポートするための十分な書面ドキュメントを提供できます。  |
|---|---|
| 結論 | 規制対象企業の品質管理と eSignGlobal の品質管理活動を組み合わせることで、eSignGlobal のアプリケーションはこの条項の要件を満たすことができます。 |
(b)主管官庁が検査、監査、および複製しやすい、正確、完全、かつ読みやすい電子記録のコピーを生成する能力。電子記録の監査および複製に関する問題がある場合は、主管官庁に連絡する必要があります。
| 応答 | eSignGlobal が生成する電子記録には、主に次の 2 つのカテゴリがあります: § 業務活動記録。主に、システムにアップロードされ、信頼できる電子署名で署名された、適用可能な電子契約を含む、さまざまな GMP 活動記録が含まれます。 § ユーザー管理とログイン、契約の表示と共有などのサポート活動記録。 システムは、正確、完全、かつ読みやすい電子記録のコピーを生成し、電子的に閲覧するか、紙のコピーファイルとして印刷できます。規制対象企業は、必要に応じてこれらの記録を規制当局の監査に使用します。  |
|---|---|
| 結論 | eSignGlobal のアプリケーションはこの条項の要件を満たすことができます。 |
©記録が保存期間全体にわたって正確で検索しやすいように記録を保護します。
| 応答 | SAAS 製品として、eSignGlobal の記録管理とセキュリティはサプライヤーが担当します。関連する記録セキュリティの説明には、以下が含まれます。 § クラウドコンピューティングサプライヤーは、有名なクラウドサービスプロバイダーです。eSignGlobal はサプライヤーと品質契約を締結し、物理的なセキュリティ、サービスの可用性、災害復旧などを制約しています。 § 研究開発、テスト、運用、および運用サービスは、「個人情報保護管理システム-ISO/ IEC27018:2019」管理システムに準拠し、関連する登録証明書を取得しています § 研究開発、テスト、運用、および運用サービスは、「情報セキュリティ管理システム-ISO/ IEC27001:2022」管理システムに準拠し、関連する登録証明書を取得しています § 研究開発、テスト、運用および運営サービスは、《プライバシー情報管理システム-ISO/IEC27701:2019》管理システムに適合し、関連する登録証明書を取得しています。 § システムは完璧な権限管理機能を備えており、未承認のユーザーは関連記録にアクセスできません。 § システムは監査追跡機能を備えており、システム内のデータの新規作成、修正、削除などの操作について詳細な記録があり、記録のトレーサビリティを保証します。 § 天谷情報は、監査、システム検証などの規制対象企業のコンプライアンス活動を支援し、適用可能な文書資料を提供します。  eSignGlobalは強力な記録検索機能を提供し、担当者、時間、操作タイプ、記録番号、その他の 情報に基づいて情報検索に使用できます。  |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
(d)承認された個人ユーザーがシステムのログインを制限できるようにします。
| 応答 | eSignGlobalは、個人ユーザーがシステムにログインすることを制御する、完璧なアクセス制御機能を備えています。システムは承認を通じて、個人ユーザーはパスワードなどの方法でシステムにログインできます。 |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
(e)安全で、コンピューターで生成されたタイムスタンプ付きの監査証跡を使用して、オペレーターのログイン、電子記録の作成、修正、または削除の動作の日時を個別に記録します。記録の変更によって、以前の記録情報が上書きされることはありません。このような監査証跡ドキュメントは、少なくとも対象の電子記録と同じ期間保存され、管轄当局による監査と複製が容易になります。
| 応答 | eSignGlobalは、日付、時間、操作の説明、新しい値、古い値、オペレーターなどの情報を記録できる、完璧な監査追跡機能を備えています。 監査追跡は、時間、ビジネスモジュール、操作タイプでフィルタリングして表示でき、新しい記録は以前の記録を上書きせず、ビジネス活動記録とともにアーカイブされます。 権限のあるユーザーは監査追跡情報を表示でき、監査追跡記録を印刷できます。  |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
(f)必要に応じて、オペレーティングシステムチェックを使用して、許可された手順とイベントの順序を強制します。
| 応答 | eSignGlobalは記録署名プロセスを設定でき、ユーザーは必要に応じて署名プロセスを設定して、ファイル署名が正しい順序で実行されるようにすることができます。署名を実行すると、システムは署名プロセスが構成されたプロセスと一致するかどうかを確認します。一致しない場合、システムは関係者の署名操作をサポートしません。 |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
(g)権限チェックを使用して、承認されたユーザーのみがシステムを使用し、電子的に記録に署名し、オペレーティングシステムまたはコンピューターシステムの入出力デバイスを使用し、記録を修正するか、手動で操作を実行できるようにします。
| 応答 | eSignGlobalは完璧な権限管理機能を備えており、システムの各ユーザーは一意であり、承認されたユーザーのみが対応する操作を実行できます。 ユーザーが電子署名を使用する際には、適切な検証が必要です。例えば、正しいユーザー名とパスワード、携帯電話番号の検証コード、生体認証などを入力して操作を実行する必要があります。  |
|---|---|
| 結論 | eSignGlobal のアプリケーションは、本条項の要求を満たすことができます。 |
(h)必要に応じて、デバイス(例えば、端末)を使用して、データ入力のソースまたは操作指示の有効性を確認します。
| 応答 | eSignGlobal は、スタンドアロンのソフトウェアとして使用できるだけでなく、電子署名開発プラットフォームを統合し、API インターフェースを通じて外部システムと連携します。 システムは、インターフェースデータの送信と受信を監視し、検証に合格したデータのみが正常にやり取りできます。検証に合格しなかったデータについては、システムが記録し、エラーの原因を説明します。  |
|---|---|
| 結論 | eSignGlobal のアプリケーションは、本条項の要求を満たすことができます。 |
(i)電子記録/電子署名システムの開発、保守、または使用に従事する人員が、割り当てられたタスクを実行するのに必要な教育、トレーニング、および経験を備えていることを確認します。
| 応答 | eSignGlobal の開発会社は、完璧なトレーニングシステムを確立しました。eSignGlobal 製品の開発者、テスター、および運用担当者は、体系的なトレーニングを受けた後、職務に必要な知識と経験を備えていることを確認してから、職務に就くことができます。 製品の納品プロセスにおいて、eSignGlobal の開発会社は、顧客に関連する担当者が必要な知識を確実に習得できるように、専門的なトレーニングを提供します。 規制対象企業は、関連する担当者が適切な資格を持っていることを保証するために、トレーニング管理を実施する必要があります。  |
|---|---|
| 結論 | 規制対象企業のトレーニング管理と eSignGlobal 開発会社のトレーニング管理活動を組み合わせることで、eSignGlobal のアプリケーションは、本条項の要求を満たすことができます。 |
(j)記録と署名の偽造を阻止するために、電子署名に関連する行為に対する個人の責任を拘束する書面によるポリシーを確立する必要があります。
| 応答 | この条項は、規制対象企業のプロセスの要件を説明しており、ソフトウェア機能の設計またはサプライヤーの活動には関係ありません。 |
|---|---|
| 結論 | 規制対象企業の品質管理活動と組み合わせることで、eSignGlobal のアプリケーションは、本条項の要求を満たすことができます。 |
(k)システムファイルに関する適切な管理の確立には、以下が含まれます。
(1)システム操作および保守ドキュメントの割り当て、アクセス、および使用に対する十分な管理。
(2)システムファイルの作成および修正の時系列の監査証跡を作成するための、修正および変更管理手順の確立。
| 応答 | eSignGlobal は SAAS ソフトウェアとして、システム保守はサプライヤーが担当します。eSignGlobal の開発会社は、適用されるドキュメントを管理するための適切な管理手順を確立しています。ファイルの修正および変更は、会社のファイル管理手順に従います。 被規制会社は、文書が適切に管理されるように、適切な文書管理システムを維持する必要があります。 |
|---|---|
| 結論 | 被規制会社とeSignGlobalの開発会社との文書管理活動を組み合わせることで、eSignGlobalのアプリケーションはこの条項の要件を満たすことができます。 |
Part 11 11.30 - オープンシステムの管理 Controls for open systems.
オープンシステムを使用して電子記録を生成、修正、維持、または送信する者は、記録の作成時点から受信時点までの真正性、完全性、および必要な場合には機密性を保証できる手順と管理方法を採用する必要があります。必要に応じて、11.10で明示されている内容、および文書の暗号化や適切な電子署名基準の適用など、記録に必要な真正性、完全性、および機密性を確保するための追加の措置を含める必要があります。
| 応答 | SAASソフトウェアサービスとして、eSignGlobalは標準化されたサービスを提供することで、顧客にビジネス価値を提供します。eSignGlobalの開発会社は、顧客と協力してオープンシステムの管理を完了し、記録の真正性、完全性、および機密性を確保します。これには以下が含まれます。 § eSignGlobalは、高度な暗号化アルゴリズムを採用し、電子ファイルの生成から保存、そして送信までの全プロセスを暗号化します。送信時には、SSL/TLS暗号化プロトコルを使用し、ネットワーク送信中のデータが盗まれたり改ざんされたりしにくいようにします。保存段階では、ファイル原文を暗号化し、データが不正に取得されないようにします。 § eSignGlobalは、デジタル署名技術を使用し、関連記録の電子署名検証をサポートし、関連記録の保護を実現します。 § eSignGlobalの開発会社は、顧客との品質契約の締結をサポートし、サプライヤーが提供するサービスと責任を明確にします。被規制会社の品質管理システムと組み合わせることで、記録の作成時点から受信時点までの真正性、完全性を確保します。   |
|---|---|
| 結論 | 被規制会社の品質管理活動と組み合わせることで、eSignGlobalのアプリケーションはこの条項の要件を満たすことができます。 |
Part 11 11.50 - 電子署名の形式 Signature manifestations
(a)電子記録に署名するには、署名に関連する以下のすべての情報を明確に示す必要があります。
(1)署名者の名前を活字体で書く
(2)署名が有効になる日付と時間
(3)署名に関連する意味(レビュー、承認、責任、またはオリジナル作成者など)
(b)本条(a)(1),(a)(2),および(a)(3)で明示されている内容は、電子記録と同じ管理方法を採用し、読みやすい電子記録(電子表示または印刷出力)の一部として扱う必要があります。
| 応答 | eSignGlobalを使用して電子署名を実行する場合、システムは以下をサポートします。 1.ユーザーは、実際の設定に基づいてパーソナライズされた活字体名をカスタマイズでき、署名者の情報の可読性を確保するために、読みやすい形式でシステムにも保存されます。 2.署名実行時の日付と時間情報を保持します。 3.署名に関連する意味。 4.すべての電子署名に関連付けられた記録はシステムで読み取り可能であり、レビューまたは再検討のためにエクスポートまたは印刷されたコピーを提供できます。   |
|---|---|
| 結論 | eSignGlobal のアプリケーションはこの条項の要件を満たすことができます。 |
Part 11 11.70-署名/記録のリンク Signature/record linking
電子記録に署名された電子署名と手書き署名は、電子署名が削除、コピー、またはその他の方法で転送されて電子記録の偽造が実現されないように、それぞれの電子記録にリンクする必要があります。
| 応答 | eSignGlobal の電子署名は関連記録の一部として、削除、コピー、またはその他の方法で転送して電子記録を偽造することはできません。 eSignGlobalは、デジタル署名技術を利用して、関連記録の電子署名検証をサポートし、無効な署名と記録を識別できます。  |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
Subpart C--電子署名 Electronic Signatures
Part 11 11.100-一般要件 General Requirements
(a)各電子署名は、唯一の個人に対応し、再利用または他の誰かに再割り当てすることはできません。
| 応答 | システムは、各ユーザーに一意のIDを指定し、ユーザーと一意の署名に対応させ、他のユーザーが使用することはありません。 |
|---|---|
| 結論 | eSignGlobalのアプリケーションは、本条項の要件を満たすことができます。 |
(b)組織が個人の電子署名またはその他のそのような電子署名の要素を確立、割り当て、証明、または承認する前に、組織は個人の身元を確認します。
| 応答 | ユーザーは管理制度を提供する責任があります。 |
|---|---|
| 結論 | 規制対象企業の品質管理活動と組み合わせることで、eSignGlobalのアプリケーションは本条項の要件を満たすことができます。 |
©署名者は、電子署名を使用する前または使用時に、関連機関に、1997年8月20日以降に彼らのシステム上の電子署名が、従来の手書き署名と同等の法的効力を持つことを証明する必要があります。
(1)証明は、5600 Fishers Lane, Rockville, MD 20857の地域事務所(HFC-100)に書面で提出する必要があります。
(2)関連機関の要求に応じて、人々は電子署名を使用する際に、電子署名が署名者の手書き署名と同等の法的効力を持つことを明確にする追加の証明書または証拠を提供する必要があります。
| 応答 | 規制対象企業は、関連する管理制度を確立し、実施します。 |
|---|---|
| 結論 | 規制対象企業の品質管理活動と組み合わせることで、eSignGlobalのアプリケーションは本条項の要件を満たすことができます。 |
Part 11 11.200-電子署名のコンポーネントと制御 Electronic signature components and controls.
(a)生体認証に基づかない電子署名は、以下を満たす必要があります。
(1)識別コードやパスワードなど、少なくとも2つの明確に異なる証明成分を使用します。
(i)個人が単一の制御されたシステムに継続的にアクセスし、一連の署名を行う場合、最初の署名には電子署名のすべての構成要素が含まれている必要があります。その後の署名には、少なくとも電子署名の中で個人専用に設計された構成要素の1つが含まれている必要があります。
(ii)個人が独立した継続的な制御されたシステムへのログイン期間内に1つまたは複数の署名を行う場合、署名される各署名は、すべての電子署名成分を使用する必要があります。
(2)真の所有者のみが使用します。
(3)真の所有者以外の人が電子署名を使用しようとする場合に、2人以上の個人の協力が必要となるように、管理および署名を採用します。
(b)生体認証に基づく電子署名は、真の所有者以外の人が使用できないように設計されている必要があります。
| 応答 | eSignGlobalは、非生体認証の電子署名と生体認証の電子署名の両方をサポートしています。 非生体認証の電子署名の場合、電子署名の構成要素には、少なくとも2つの証明成分が含まれます。たとえば、ユーザー名とパスワード、携帯電話番号と検証コードなどです。 署名を実行するたびに、電子署名のすべての構成要素が必要です。 規制対象企業は、電子署名が真の所有者のみが使用できるように、関連する管理制度を確立します。 規制対象企業は、本人以外のユーザーがシステムにログインする必要がある場合、2人以上の人が立ち会った場合にのみ操作できるように、関連する管理制度を確立します。 生体認証の電子署名は、動的な生体検出とマルチモーダル認証の補助により、本人だけが使用できるようにします。  |
|---|---|
| 結論 | 規制対象企業の品質管理活動と組み合わせることで、eSignGlobal のアプリケーションはこの条項の要件を満たすことができます。 |
Part 11 11.300 - 識別コード/パスワードの管理 Controls for identification codes/passwords.
識別コードとパスワードを同時に使用する電子署名は、その安全性と完全性を確保するために管理されるものとし、この管理には以下が含まれるものとします。
(a) 各識別コードとパスワードの組み合わせの一意性を維持すること。つまり、2 人の人が同じ識別コードとパスワードを持つことはないこと。
(b) 識別コードとパスワードの発行が定期的にチェック、回収、または修正されることを保証すること(パスワードの有効期限切れなどに対処するため)。
© 紛失管理プロセスに従って、紛失、盗難、置き忘れ、またはその他の損傷の可能性のある記号、カード、および識別コードまたはパスワード情報を含む、または生成するその他のデバイスに対して電子的な無効化を採用し、適切かつ厳格な管理の下で一時的または永続的な代替品を発行すること。
(d) 未承認のパスワードまたは識別コードの使用を防止するためにセキュリティデバイスの使用を処理し、システムの未承認の使用を試みるセキュリティデバイスを検出して報告するための即時かつ緊急の措置を講じ、適切な組織管理を行うこと。
(e) 識別コードまたはパスワード情報を含む、または生成するトークンまたはカードなどの初期および定期的なデバイステストを実施して、正常に動作し、未承認の変更を受けていないことを確認すること。
| レスポンス | eSignGlobal の機能は以下をサポートしています: § 各ユーザーに一意の ID を割り当て、一意性を確保します。 § ユーザーの多要素認証をサポートし、パスワードを忘れたり紛失したりした場合、ユーザーは自分でパスワードを更新できます。(規制対象企業は、上記の場合を管理するための手順を確立する必要があります。) § 連続して複数回ログインに失敗した場合を識別し、セキュリティポリシーをトリガーしてユーザーをロックできます。システムはこれらの異常なアクティビティを記録できます。 eSignGlobal のユーザー管理と署名はこの種のデバイスに依存しません。 |
|---|---|
| 結論 | 規制対象企業の品質管理活動と組み合わせることで、eSignGlobal のアプリケーションはこの条項の要件を満たすことができます。 |
結論
米国連邦規則第 21 章 Part 11 は複雑な規制であり、サプライヤーと規制対象者が協力して、優れた技術、管理、および手順の管理を実施する必要があります。
サプライヤーとして、eSignGlobal の開発会社は、eSignGlobal 製品に対して十分な技術的管理と適切な管理を実施し、コンプライアンスを確保しています。規制対象企業は、コンプライアンスを確保するために、少量の管理および手順の管理を実施する必要があります。