よりシンプルな医療機器製造向けソフトウェアバリデーションとは

市販のソフトウェア（COTS）により、医療機器メーカーは、生産の加速化、プロセスの統合、品質の効率的な管理を劇的に向上させることができました。しかし、米国食品医薬品局（FDA）のような規制当局からの分かりやすいガイダンスがなければ、バリデーションは非常に負担が大きく、現実的でなく、時間がかかるため、かえって進歩の妨げになることがあります。FDAのCSV（Computer System Validation）チームでさえ、バリデーションの負担とコストが、企業が専用技術への投資を躊躇させることが多く、その結果、品質のベストプラクティスが阻害され、違反につながる可能性があることが分かっています。^*¹

COTSソフトウェアとOTSソフトウェアに対するバリデーションの比較

近年、FDAは、ソフトウェアを組み込んだ革新的な医療機器の開発が急増していることを受けて、機器そのものに組み込まれた既製（OTS）ソフトウェア（例えば、人工内耳に組み込まれたマイクロチップで動作するソフトウェアなど）の検証について、医療機器メーカーが機器の製造に使用するCOTSソフトウェアの検証よりも、より詳しい指針を示しています。前者については、同庁が2019年に発行した「医療機器における既製ソフトウェア使用」ガイダンスが、医療機器における既製ソフトウェア使用に関するバリデーション計画および設計管理の確立に役立つ原則を示した。しかし、市販の既製ソフトウェアのバリデーションに関する一般的なガイダンスとなると、FDAの指令は20年近く前のものです（General Principles of Software Validation; Final Guidance 2002に概説されています）。現在、生産・品質システムソフトウェアのためのコンピュータソフトウェアアシュアランス（CSA）のガイダンス（ドラフト）が発行される予定です。このテーマに関する最終ガイダンスが発表されれば、期待されることが明確になり、バリデーションの非効率性を最小化するのに役立つはずです。^*²

正式なCSAガイダンスが発行されるまで、医療機器メーカーは、21 CFRのさまざまな規制を寄せ集めた従来のCOTSソフトウェアバリデーションの方法にほぼ固執しています。従来の方法は、基本的に以下の連続したステップを実施することです。

• ユーザー要求事項を定義
• バリデーション計画を作成
• リスクを特定し、リスク管理計画を作成（リスクについては後で詳しく説明します！）
• 機能要件を決定
• ユーザー要求仕様書（URS）、機能要求仕様書（FRS）、テストスクリプトを作成し、テストを実行してソリューションが正しく動作していることを確認し、ソフトウェアベンダーが対処する必要がある問題を特定する。このテストと同時に、COTSソフトウェアプロバイダと連携して、インストール資格（IQ）、運用資格（OQ）、性能資格（PQ）を実行し、文書化
• 検証報告書を作成

この伝統的なアプローチは、技術革新とリスクを重視する規制の高まりのおかげで、はるかに効率的で、より有意義で効果的なバリデーション形式へと進化しつつあります。

バリデーションにリスクベースアプローチをとるための4つの鍵

規制当局がますます推進しているCOTSソフトウェアバリデーションに対するリスクベースのアプローチは、根拠のあるクリティカルシンキングでなければなりません。慎重に検討し、ベンダーがサポートするプロセス、およびそれをサポートする文書が手元にあれば、使用しているシステムとその機能を守ることは容易です。文書化されたクリティカルシンキングがすべての検証活動の中心にあることで、あなたの努力は常にそうであるべきです。

1. 分離された機能ではなく、実際の使用方法に基づくこと
2. 意図した使用方法に対する特定の使用リスクレベルに集中する
3. 可能な限りコンフィギュレーション設定を検証し、リスクの高いユースケースのみを検証する
4. COTSソフトウェアベンダーから提供されたドキュメントを活用し、お客様のビジネスに特有のギャップや不一致を判断する

マスターコントロールのバリデーション分野におけるプロダクトマネジメントディレクターであるErin Wrightによると、検証用文書の維持管理責任はソフトウェアプロバイダーに移行しつつあるため、4番のポイントは特に重要であるとしています。^*³

リスクベースアプローチを促進する最新ツール

医療機器メーカーがバリデーション負担を軽減する方法を常に探しているように、ソフトウェアベンダーも顧客のバリデーションプロセスを加速させる方法を常に探しています。ベンダーが既に実施しているバリデーション作業を活用することで、デバイスメーカーは、実装するCOTSソフトウェアのうち、自社の業務にとって最も重要な機能にテストの労力を集中させることができます。

特許取得済みのソリューションである MasterControl Validation Excellence Tool、別名 VxT (米国特許取得済み 10,324,830) は、ソフトウェア機能のリスクと緩和策の事前評価を提供することでリスク評価プロセスを合理化し、企業は特定の使用テストと重要なビジネスプロセスにもっと注意を向けることができるようにします。VxTリスク評価ツールをソフトウェアライフサイクルおよびベストプラクティスのテストアプローチと組み合わせることで、初回使用時の検証を数ヶ月から約20時間に短縮することができます。

COTS ソフトウェアの未来はセルフバリデーション

バリデーションの負担が医療機器メーカーからSaaSプロバイダーに移行するにつれ、自動テストがソフトウェア製品に組み込まれるため、ユーザーがソフトウェアの構成についてテストを行うことは少なくなるとWrightは述べています。

「ソフトウェアベンダーがすべての機能にテストを組み込めば、ユーザーが設定を完了した時点で、そのユーザーのためだけに自動テストを実行する準備が整います。ユーザーの立場からすれば、追加の労力やテストは必要ありません。^*⁴

その結果、ソフトウェアの新機能がリリースされるたびに、バリデーションテストを瞬時に再実行することが可能になります。これは、ライフサイエンス向けソフトウェア業界が現在は規制対象外となっているソフトウェアで使用されているCI/CD（継続的インテグレーション/継続的デリバリー手法）に移行する際、極めて重要です。そう遠くない将来、バリデーション作業や文書化向けテンプレートは、ソフトウェア開発者によって事前に完成されるようになり、正式なバリデーションは、事実上、そこで処理されるようになるでしょう。

参照

1. “Removing Barriers To Technology Adoption: The case for the Computer Software Assurance (CSA) Guidance Document,” FDA CSV Team, Nov. 5, 2019.
2. “CDRH Proposed Guidances for Fiscal Year 2022,” FDA website, content current as of Oct. 26, 2021.
3. “Going Beyond CSV to Self-Validating Software,” MasterControl, Sept. 13, 2021.
4. “The Next Generation of Software Is Self-Validating,” by Erin Wright, Industry Today, Feb. 24, 2021.