美國FDA於1997年頒佈21 CFRPart 11,並於2003年頒佈相關行業指南來細化有關規則。在Part11規定中,電子記錄被認為具有與書面記錄和手寫簽名同等的效力。21CFRPart 11被美國的生物醫藥企業、醫院、研究所和實驗室廣泛接受和遵照執行。自頒佈以來已被推廣至全球,雖然沒有強制性,但被歐洲、亞洲等地圖和國家普遍接受和使用。美國作為全球生物醫藥產業最主要組成部分影響力巨大,當你的藥物、生物醫藥相關設備或者信息系統需要銷售給美國的製藥企業和研究人員都應該符合21 CFR Part 11的規定。如違反,FDA能夠根據規定剝奪出口到美國的權利。
FDA CFR21 Part11
其他國家對電子記錄和電子簽名也有類似要求,會以21 CFRPart 11的相關規定為指導原則,來制定本國的相關法規。我國目前暫無像21CFR Part 11這樣在生物醫藥領域針對電子記錄和電子簽名的規範或標準。我國在2005年開始實施了《中華人民共和國電子簽名法》,但這主要針對容易引起法律糾紛如合同、協議等的電子簽名有效性的規定。
當前在GxP領域對中國來說,困擾的問題不僅在於你選擇應用的信息系統是否適用於21CFR規定及是否驗證,還在於如何建立一套較完善的實施GxP電子記錄管理體系和電子簽名有效性管理規範何時落地。
一、21 CFR Part 11涉及領域廣泛(共1499個部分)
21CFR=Food and Drugs
21CFR58=GLP
21CFR210=GMP, Drugs (General)
21CFR211=GMP, Drugs (Finished Pharmaceuticals)
21CFR312=Inv. New drug Application (GCP)
21CFR314=FDA Approval of new drug (GCP)
21CFR6xx=GMP, biologics
21CFR820=GMP, Devices
21CFR„= Food, nutrients and cosmetics
21CFR11=Electronic Records; Electronic Signatures
二、21 CFR Part 11的主要內容
美國21 CFR Part 11的法律讀本一共38頁,除去1頁封面,其中只有2頁半是法規本身,其餘34頁半都是FDA從企業反饋中整理出來的緒論。這裡主要是法規本身正文內容。
從21 CFR Part11的目錄看整個法規分為3章,分別是:
A章節—一般規定
11.1 適用範圍 (21 CFR Part 11的適用範圍,什麼情況下的電子記錄和電子簽名是適用於21CFR Part 11的)
11.2 執行 (在什麼情況下可以去應用本法規)
11.3 定義 (一些重要的定義,幫助理解本法規)
B章節—電子記錄
11.10 封閉系統的控制 (只有相關權限的人才能進入並讀取電子記錄內容的系統)
11.30 開放系統的控制 (進入時不受控制的系統,比封閉系統多了進入後安全性的要求)
11.50 簽名的顯示 (電子簽名應顯示的內容)
11.70 簽名/記錄連接 (電子簽名與電子記錄的連接)
C章節—電子簽名
11.100 一般要求 (電子簽名的基本要求,如唯一性和排他性)
11.200 電子簽名的構成及控制(電子簽名的成分和應用)
11.300 識別代碼和密碼的控制(電子簽名的識別和密碼管理)
三、21 CFR Part 11對系統的安全要求
1.安防措施
21CFRPart 11對系統的安全要求主要是防止未授權的人進入系統接觸電子記錄,更改和刪除電子記錄和電子簽名。 因此要求有系統安全進入的機制,包括物理手段和邏輯手段。傳統的物理手段是制定程序阻止未授權人員出入,但在實際情況中很難做到,現在較多的則是採取邏輯手段,即計算機系統控制的方式,包括用戶ID、授權、用戶配置文件的角色,密碼策略、密碼的安全性,合法用戶的權限,共享桌面、遠程登錄等等。 另外一點重要的系統評價,應定期評估和驗證系統是否符合21CFR Part 11的要求。
2.“許可”機制
“許可”機制確保用戶能修改自己的紀錄,但只能讀(不能修改)其他用戶的記錄,通過管理個人文件和目錄來實現。 “許可”機制可以通過用戶配置文件來實現,在共享數據的同時,為數據提供保密性和完整性。 每個用戶根據分配給其不同的權限被設定成一個特定的用戶角色(如管理員、主管、技術員、操作員等),也就說定義角色時含分配權限。
3.可信賴記錄
可信賴記錄的先決條件,除了數據安全性外,就是可追溯性。“沒有寫下來的東西就是謠言”在FDA檢查過程中,審計員將查閱實驗室日誌來檢查分析過程。 日誌的內容將不能夠用普通的方法被修改或刪除。要注意到包含了很多條日誌信息的審核跟蹤將變得難以管理,如前面提到的要定義好那些要記錄,不能使日誌數據冗餘。 審核跟蹤是確保所有的數據都具有清晰完整的記錄,而不是對人員進行控制或衡量工作效率。幫助記錄人和複合人理解當時為何要執行特定的操作。
4.設備控制和數據採集
那些控制實驗儀器但不獲得數據的計算機是否需要符合21CFR Part 11的要求?共有四個級別。
級別1:使用儀器本身的控制面板和鍵盤來進行手工參數設定,通過數模轉化起記錄信號,設定參數難以打印,必須手工記錄。
級別2:通過逆向工程來實施儀器控制,通過分析其他供貨商的最終產品來摸索出所使用通訊協議的設計方法。如果特定的供貨商沒有正式公開控制代碼,想要得到廠家的正式技術支持非常困難,另外對於這樣的系統還要進行操作認證和其他相關驗證。儀器固件的升級也可能會導致與數據系統的通訊失靈。無錯誤處理能力和日誌。
級別3:創建完整的原始數據和元數據以及正確的文件變得很容易。這一級別中,錯誤報告與處理很完善,很容易確認分析是否在順利完成,出現技術錯誤時,很容易進行診斷。 一些廠商能夠實施另外一種級別的儀器控制,即由數據系統控制儀器,數據系統可以進行儀器詳細全面的診斷和一些其它功能。這種控制還可以對一起進行預防性維護和早期維護反饋(EMF),能夠進行完善的儀器序列號和固件的修訂追蹤。這種信息在做固定資產審查時非常有用。同時可以執行21 CFR Part 11所要求的功能檢查。
級別4:通過握手協議來進行,一個握手協議需要接收者在收到數據後,要想發送者發確認已表明數據收到。可以防止控制著認為它已經發出指令給設備,但設備實際上沒有執行。
iLabService INTELAB
INTELAB by iLabService
基於Microsoft Azure的iLabService INTELAB實驗室監控系列產品,從底層的Microsoft Azure公有云數據存儲,到硬件的Microsoft Azure認證,到軟件系統的IQ/OQ認證,均符合FDA CFR 21 part 11的相關規定,可以為您的實驗室提供最安全、最合規的服務!
Microsoft Azure認證的INTELAB IoT硬件終端