いつもお世話になっております。ヒロファーマコンサルティング 集です。
FDAから CSA: Computer Software Assurance for Production and Quality System Softwareに関するガイダンスが、2025年9月24日正式に発出されました。
FDA CSA: Computer Software Assurance for Production and Quality System Software
Guidance for Industry and Food and Drug Administration Staff
Document issued on September 24, 2025
<FDA CSA 要約>:
FDA『医療機器の製造・品質システム用ソフトウェアのコンピュータ化保証(CSA)』要約版
目的(何のための文書か):
本ガイダンスは、医療機器の製造/品質システムで用いるソフトウェアに対し、リスクに応じた『コンピュータ化保証(CSA)』を行うことで、適用される規制要件(例:21 CFR Part 820)を満たしつつ、製品品質と患者安全を高めることを推奨するものである。
背景
オートメーション、ロボティクス、データ分析、AI/ML、クラウド等の導入が進展。従来の“テスト中心”だけでは不十分であり、用途とリスクに応じて最小負担で妥当性を確保する枠組みが必要である。
適用範囲
医療機器の製造または品質システムの一部として用いられるコンピュータ/自動化システムに適用。デバイスソフトウェア機能の設計検証・妥当性は別ガイダンス。
CSAの要点(3本柱)
① 用途の特定:各機能・操作が製造/品質で何を担うか明確化。
② リスク分析:失敗時に『安全を損なう品質問題』に結び付くかで高/非高を判定。
③ 保証活動:リスクに応じてテスト方法(探索的/シナリオ/スクリプト)を選択し、過不足ない客観的証拠を整備。
高リスク/低リスクの例
高:臨界工程パラメータ維持・調整、自動受入判定、必須ラベリング自動生成 等。
低:監視・記録のみ、CAPA/変更管理のワークフロー、LMS通知 等。
記録(エビデンス)
用途、リスク評価、実施試験の要点、逸脱・結論、実施者・日付・承認を、デジタル記録中心で保管(Part 11該当性に留意)。
クラウド・ベンダ活用
COTSやIaaS/PaaS/SaaSでも、供給者評価や既存エビデンス活用により追加保証負担を低減できる。
実装ステップ(提案)
① 対象棚卸し → ② リスク分類 → ③ テスト戦略選択 → ④ 記録テンプレ運用 → ⑤ 変更管理と定期見直し。
Computer Software Assurance (CSA) — Executive Summary for Partners
Purpose: Enable risk-based assurance for software used in production and quality systems, focusing efforts where failures could lead to safety-impacting quality issues, while reducing unnecessary burden.
What CSA Changes (in Practice)
• From test-heavy validation to risk-based assurance aligned to intended use.
• Evidence proportional to risk: exploratory/scenario testing for low-risk; scripted and repeatable tests for high-risk.
• Leverage supplier evidence and cloud/COTS capabilities; maintain a validated state through change.
Where to Start
• Inventory systems and functions; define intended use per function.
• Classify process risk (safety-impacting vs. non-safety-impacting).
• Select appropriate assurance activities; establish concise, auditable records (Part 11 as applicable).
Illustrative Use Cases
• Nonconformance management (COTS): vendor assessment + focused testing on initiation, e-signature, and product containment.
• Learning Management System (SaaS): access/notification and reporting verified via exploratory tests.
• Business Intelligence: connectivity, data transformation, and visualization tested with representative data sets.
Assurance Output (What Auditors Expect)
• Intended use; risk rationale; what was tested and why; results and issues; acceptability conclusion; who did what when; approvals per SOP.
———————————————————————————————————————–
2025年9月24日にFDAから CSA: Computer Software Assurance for Production and Quality System Softwareに関するガイダンスが、正式に発出されました。
ドラフト版は、2022年9月13日に提示されており、同時にパブリックコメントが募集されました。その後医薬品・医療機器メーカや、関係団体、IT業界から138件ものコメントがありました。
そして、3年の検討を経て、ここにFDAから正式にCSAガイダンスとして発出されました。
・今回は、Appendix A, Examplesとして4事例があるので少しは理解しやすくなっています
・また、ISPE GAMP 5 2nd EditionでのRisk-based approachとの整合性を基本的には意識されているようです
・さらに「21 CFR Part 820 Quality System Regulation」に関しても言及されています
・また、COTSやIaaS/PaaS/SaaSでも、供給者評価や既存エビデンス活用により追加保証負担を低減できるとしています。
「パブリックコメント」 -> draft版に寄せられたコメント
TOCを示します。
