臨床試験データ、製造記録、品質管理試験の測定データ——製薬・バイオテクノロジー企業が扱うファイルは、いずれも規制当局の監査対象になり得ます。「クラウドに移行したいが、GxP対応やCSVをどうするのか分からない」という声を、IT部門・品質保証部門の双方からよく聞きます。GxP規制の要点を整理しながら、クラウドストレージを安全に使うための具体的な方法を解説します。
製薬・バイオ企業がクラウドストレージを必要とする理由
製薬会社やバイオテクノロジー企業が扱うデータは膨大です。ゲノム解析・タンパク質構造解析・臨床試験の生データは数十〜数百GBに及び、これをオンプレミスのファイルサーバーで管理し続けるのはコストとリスクの両面で非効率です。
主な課題は以下の4点です。
- ストレージ容量の急増: 次世代シーケンサーや高解像度イメージング機器が生成するデータ量は年々増加し、オンプレミスのディスク増設が追いつかない
- 拠点間の研究データ共有: 国内外の研究拠点・CRO(受託研究機関)・CMO(受託製造機関)間でデータを安全に受け渡す手段が限られている
- DRサイトのコスト: 規制要件を満たすバックアップ・災害対策(BCP)環境を自社で維持するには、専用インフラへの継続的な投資が必要
- データ保存期間の長さ: 申請データは承認後も長期(国内では少なくとも5〜10年)の保存義務があり、アーカイブ費用がかさむ
クラウドストレージへの移行でこれらは解消できます。ただし製薬業界では、どのシステムを使うかよりも「その使い方がGxP要件を満たしているか」が問われます。
押さえるべき規制フレームワーク
GxP(Good Practice)とは
GxPとは、医薬品の研究・製造・品質管理・流通に関わる各種「グッドプラクティス」の総称です。具体的には以下のものが含まれます。
| 略称 | 正式名称 | 対象 |
|---|---|---|
| GMP | Good Manufacturing Practice | 医薬品製造 |
| GCP | Good Clinical Practice | 臨床試験 |
| GLP | Good Laboratory Practice | 非臨床試験 |
| GDP | Good Distribution Practice | 流通・保管 |
クラウドストレージを使って上記業務のデータを管理する場合、そのシステムはGxPの管理下に置かれます。ファイルの保存・閲覧・変更・削除のすべての操作を、適切に記録・管理しなければなりません。
データインテグリティ(DI)とALCOA原則
GxP対応で最も重要な概念がデータインテグリティ(Data Integrity)です。FDAやPMDA(独立行政法人医薬品医療機器総合機構)は、データが以下のALCOA原則を満たすことを求めています。
- Attributable(帰属性): 誰がいつデータを作成・変更したかが明確
- Legible(判読性): データが読み取り可能な状態で保管されている
- Contemporaneous(同時性): データが発生したタイミングで記録されている
- Original(原本性): 最初に記録されたデータが保存されている
- Accurate(正確性): 完全で、エラーが修正されている
クラウドストレージで電子記録を管理する場合、この5原則を技術的・手続き的コントロールによって担保する必要があります。
FDA 21 CFR Part 11とER/ES指針
電子記録・電子署名に関する規制として、米国ではFDA 21 CFR Part 11、日本ではPMDAのER/ES指針(電子記録及び電子署名に関する指針)が適用されます。クラウドストレージに関連する主な要件は次の通りです。
- 監査証跡(Audit Trail): ファイルの作成・変更・削除の操作履歴が自動的に記録され、改ざんできない
- アクセス制御: 権限のある者だけがデータにアクセスでき、その記録が残る
- バックアップ: データが定期的にバックアップされ、復旧手順が検証されている
- 電子署名: 電子署名を使用する場合、署名者の識別・意図・署名日時が記録される
CSV(コンピュータ化システムバリデーション)とクラウドストレージ
GxP対象のシステムには、CSV(Computerized System Validation)が求められます。CSVとは、システムが設計どおりに機能し、一貫して正確な結果を出力することを証明するプロセスです。
クラウドストレージをGxP業務に使用する場合も、このCSVが必要です。ただし、クラウドサービスのCSVは従来のオンプレミスとは進め方が異なります。
CSVにおけるサプライヤーアセスメント
クラウドサービス事業者がインフラ基盤に関するバリデーション文書(IQ/OQサマリ)を提供している場合、製薬会社側はその文書をCSVに組み込んで活用できます。これにより、製薬会社が自社で実施すべき検証範囲をPQ(Performance Qualification)に絞ることができます。
クラウドストレージ選定の際には、事業者に以下の文書の提供可否を確認してください。
- セキュリティホワイトペーパー
- SOC 2 Type IIレポート(またはISO/IEC 27001認証書)
- SLAドキュメント
- データセンターの物理的セキュリティに関する情報
リスクベースアプローチの適用
製薬業界のCSVでは、リスクベースアプローチが主流です。クラウドストレージの用途がGxPへの直接的な影響の大きさによって、バリデーションの厳格さを段階的に設定します。
| 用途 | GxPへの影響 | 対応レベル |
|---|---|---|
| 製造記録・原材料試験データの保管 | 高(直接影響) | フルCSV実施 |
| 申請資料・規制文書のアーカイブ | 中(間接影響) | 簡略化CSV |
| 一般管理文書の共有 | 低(影響なし) | CSVなし |
クラウドストレージ選定の実践チェックポイント
1. 監査証跡の要件
GxP環境では、「誰がいつどのファイルに何をしたか」を自動的に記録する監査ログが必須です。ログが改ざんできない仕組み(書き込み専用、または第三者による定期点検)になっているかを確認します。
操作ログとして最低限必要な記録項目:
- ファイルのアップロード・ダウンロード・削除・移動・リネーム
- アクセス日時・操作者のアカウントID・IPアドレス
- ログへのアクセス履歴
2. アクセス制御の粒度
フォルダ単位でアクセス権限を設定できるだけでなく、「閲覧のみ(ダウンロード禁止)」「編集可」「管理者」を役割ごとに使い分けられる設計が求められます。研究部門・品質保証部門・製造部門でそれぞれ見えるデータを厳密に分けることが、データインテグリティの担保につながります。
3. 暗号化と鍵管理
保存データ(at-rest)と転送データ(in-transit)の双方が暗号化されているかを確認します。さらに暗号鍵を自社で管理できる「顧客管理鍵(BYOK)」対応かどうかも確認してください。クラウド事業者が鍵を持つ構成では、内部不正リスクが排除できません。
4. データの物理的配置(データレジデンシー)
申請データの保存場所は特定できなければなりません。国内データセンターを持つサービスを選ぶか、データ保存国・リージョンを契約書に明記するよう事業者に求めてください。
5. バックアップと復旧手順の検証
GxPのバックアップ要件では、「バックアップが取れている」だけでは不十分です。「バックアップから定期的に復旧できることが検証されている」ことを文書で確認する必要があります。サービス仕様書でバックアップの頻度・保存期間・復旧テストの実績を確認してください。
ユースケース別:クラウドストレージの活用例
非臨床試験データ(GLP対象)の保管
GLPに基づく毒性試験・薬理試験のデータは、試験終了後も原則10年以上の保存が必要です。試験ごとにフォルダを分け、試験責任者のみが書き込み権限を持ち、QAが閲覧・検査できる構成にします。ファイルのバージョン履歴を保持し、原本データが上書きされない運用ルールを設けます。
gxp-archive/
├── nonclinical/
│ ├── 2025_TOX-001_28day-rat/ # 試験責任者書き込み、QA閲覧可
│ │ ├── raw-data/
│ │ ├── reports/
│ │ └── deviations/
│ └── 2025_PK-002_mouse/
├── clinical/
│ └── 2026_CT-003_phaseI/ # CRO共有フォルダ(有効期限付きリンク)
└── regulatory/
└── submissions/ # 申請資料アーカイブ(閲覧のみ)
CROとのデータ受け渡し
受託研究機関(CRO)や受託製造機関(CMO)とのデータ共有では、専用フォルダへの有効期限付きアクセスを付与する方法が実用的です。共有期間が終われば自動的にアクセスが失効するため、試験終了後に権限が残り続けるリスクを防げます。パスワードを設定することで、リンクが誤送信された場合の保護も確保できます。
申請資料のアーカイブ
医薬品製造販売承認申請書の関連データは、承認後も長期保管が求められます。年度・申請品目・資料種別でフォルダを構成し、承認後は書き込みロック(閲覧専用化)をかけます。S3互換APIを活用すれば、申請システムからクラウドストレージへの自動転送パイプラインも構築できます。
品質管理試験データの管理
分析機器(HPLC・GC・分光光度計など)が出力する生データファイルは、機器のソフトウェアから自動でクラウドストレージにアップロードする運用が理想です。手動でのデータ転送は操作ミスや改ざんリスクを生むため、システム連携による自動化でデータの原本性(Originality)を担保します。
HStorageでの実装例
推奨フォルダ構成と権限設計
| フォルダ | 参照権限 | 編集権限 | 備考 |
|---|---|---|---|
| nonclinical/ | QA・試験責任者 | 試験責任者 | 試験別サブフォルダ |
| clinical/ | QA・治験担当 | 治験担当・CRO(期限付き) | CROには有効期限リンクで共有 |
| regulatory/ | QA・薬事担当 | 薬事担当 | 申請後は閲覧専用に変更 |
| manufacturing/ | QA・製造部門 | 製造部門 | GMPロット記録 |
S3互換APIによる自動連携
HStorageのS3互換APIを使えば、既存の試験データ管理システム・ELN(電子実験ノート)・LIMSとの連携が組めます。試験完了後に自動でクラウドへ転送するパイプラインを構築することで、手動操作を減らしてデータの原本性を維持できます。
# S3互換APIを使った試験データの自動アーカイブ(イメージ)
aws s3 cp ./raw_data/ s3://eu-stg/gxp-archive/nonclinical/2026_TOX-001/ \
--endpoint-url https://s3.hstorage.io \
--recursive
WebDAVによるネットワークドライブマウント
Windows・Mac・Linuxのいずれからも、クラウドストレージをネットワークドライブとしてマウントできます。分析機器のデータ出力先をクラウドストレージのWebDAVパスに設定することで、測定終了と同時に自動アップロードが実現します。
導入前チェックリスト
製薬・バイオ企業がクラウドストレージをGxP業務に適用する前に確認すべき項目をまとめます。
| 確認項目 | 対応内容 |
|---|---|
| 監査証跡の記録範囲 | 操作日時・操作者・操作内容が自動記録されるか |
| 監査ログの改ざん防止 | ログを管理者でも変更・削除できない仕組みがあるか |
| アクセス制御の粒度 | フォルダ・ユーザー単位で「閲覧のみ/編集可」を設定できるか |
| 暗号化の範囲 | at-rest・in-transitの両方に対応しているか |
| データの物理的配置 | データセンターの所在地・地域が明示されているか |
| バックアップの検証 | 定期的な復旧テストの実施を文書で確認できるか |
| サプライヤー資料 | SOC 2 Type IIまたはISO 27001認証書の取得状況 |
| 変更管理の通知 | サービス仕様変更時に事前通知があるか |
| CSV文書への組み込み | ベンダー提供のバリデーション文書を入手できるか |
| 長期アーカイブ対応 | データ保存期間が10年以上の運用で費用が合理的か |
導入に向けて
製薬・バイオ企業でクラウドストレージを導入する際の出発点は、GxPへの影響範囲の特定です。用途によってCSVの深度が変わるため、IT部門と品質保証部門が連携して用途別のリスク評価を行い、どの業務にどのレベルのコントロールが必要かを先に決めてください。
HStorageは監査ログ・アクセス権限管理・暗号化・WebDAV・S3互換API・有効期限付き共有リンクといった機能を備えており、製薬・バイオ企業が実務で必要とする機能要件の多くをカバーしています。GxP対応の要件確認やトライアルについては、こちらのページからお問い合わせください。
