AWS で GxP コンプライアンスを自動化しながら、セキュリティとコンプライアンス体制を強化しています。
AWS では、セキュリティとプライバシーが最優先事項です
俊敏性を高め、機密情報や個人の医療情報のセキュリティを向上させ、AWS を利用した GxP コンプライアンスを自動化します。
GxP 規制には、米国食品医薬品化粧品法 (FD&C 法)、米国公衆衛生法 (PHS 法)、FDA 規制、EU 指令、英国 MHRA 規制、日本の規制や AWS が業務を展開するその他の関連する国内法や規制など、基礎となる国際的な医薬品要件が含まれています。 これらには、適正製造基準 (GMP)、適正臨床基準 (GCP)、適正検査基準 (GLP)、適正品質基準 (GQP)、適正医薬品安全性基準 (GVP)、医療機器規制、処方薬マーケティング法 (PDMA) が含まれますが、これらに限定されません。
PCI DSS、SOC、FedRAMP、NIST、ISO、HIPAA、HITRUST などのローカルデータプライバシー法に準拠するための大規模な暗号化機能など、AWS で最も包括的なコンプライアンスコントロールを行えます。AWS は、他のどのサービスよりも多くのセキュリティ基準とコンプライアンス認定をサポートしており、ライフサイエンス組織にツールやサービスを提供し、可視性を高めて、安全性とコンプライアンスを維持しながらより迅速に行動できるようにしています。
AWS で GxP システムを構築すると、IT 環境のコントロールが改善され、テストとトレーサビリティが強化され、監査への対応が容易になります。
Moderna や Bristol Myers Squibb などの大手ライフサイエンス組織が、規制対象のワークロードを運用するためになぜ AWS を選択しているかについて詳しく説明します。
AWS と GxP コンプライアンス
AWS では、専用のソリューション、技術リソース、および GxP 専門家のチームにアクセスできるため、ライフサイエンス企業は既存の規制対象ワークロードのクラウドへの移行と、新しいワークロードの構築が容易に行えます。
規制対象ワークロードの移行を促進するように設計された GxP Compliance on AWS ソリューションは、組織がコストを削減し、セキュリティを向上させ、俊敏性を高める GxP に沿った環境を確立するのに役立ちます。
AWS が GxP へのコンプライアンスをサポートする方法:
- GxP コンプライアンスプロセスを自動化: AWS は、GxP コンプライアンスプロセスを自動化するために必要なツールとガイダンスを提供するため、コンプライアンスを維持しながら迅速に移行できます。詳細
- 一貫性のある制御可能なインフラストラクチャを開発: GxP 環境を実現するために AWS を活用することで、高い整合性を保ちながら組織全体でインフラストラクチャを使用できるようにする、テンプレートを作成できます。AWS では、誰が、いつ、どこで、どのようにインフラストラクチャソフトウェアの要素に変更を加えられるかを、細かく制御できます。Merck が AWS クラウドで GxP システム保証をセットアップした方法をご覧ください。
- 自動トレーサビリティ: AWS のツールを使用すると、環境における幅広いアクティビティ (インフラストラクチャがどのようにデプロイされ、アクセスされ、設定されるかなど) のログを自動で記録できます。これにより環境の追跡可能性が向上するため、監査リクエストを簡単にサポートすることができます。詳細
GxP アプリケーションを AWS で構築するための追加のリソース:
ホワイトペーパー
GxP システムでの AWS 製品使用に関する注意事項ホワイトペーパー
AWS の使用に関する監査の概要ホワイトペーパー
GxP in the AWS Cloud概要
設計によるセキュリティ
AWS とデータプライバシー
お客様の信頼を獲得することは、AWS でのビジネスの基盤です。当社は、お客様のプライバシーニーズを満たすために尽力し、プライバシーに関するコミットメントの透明性を維持することでこの信頼を獲得しています。
お客様には常に、サービスとコンテンツへのアクセスの管理をお願いしています。いかなる目的であっても、当社がお客様の同意なくカスタマーコンテンツにアクセスしたり、それを使用したりすることはありません。ライフサイエンス企業は最も広範なグローバルインフラストラクチャにアクセスでき、コンテンツを保存するリージョンを選択できます。お客様の同意なしに、当社がカスタマーコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。
責任共有モデル
セキュリティとコンプライアンスは AWS とお客様の間で共有される責任です。この共有モデルは、AWS がホストオペレーティングシステムと仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまでの要素を AWS が運用、管理、および制御することから、お客様の運用上の負担を軽減するために役立ちます。
アプリケーションの保護に使用されるセキュリティ対策など、その他のセキュリティ要素はお客様の責任になります。これは、従来のデータセンターでアプリケーションを実行していたときと変わりありません。
AWS ライフサイエンスコンプライアンスアラインメント / フレームワーク
- AWS コンプライアンス認証は、「クラウドのセキュリティ」と「AWS のコントロールの運用効果」を証明するものです。 クラウドにおけるセキュリティはお客様の責任です。
- お客様はこれらのコンプライアンス認証を継承し、監査人や規制当局に対してコンプライアンスの一部を証明するために使用することができます。
コンプライアンス認証および証明は、サードパーティーである独立した監査人によって評価され、その結果としてコンプライアンス認証、監査報告、または証明が発行されます。
AWS のお客様は、適用されるコンプライアンスに関する法律および規制に準拠する責任があります。場合によっては、お客様のコンプライアンスをサポートするために、AWS から機能 (セキュリティ機能など)、支援ドキュメント、法的な契約書 (AWS データ処理契約や事業提携契約など) が提供されます。
コンプライアンスの準拠とフレームワークには、特定の業界または機能など、特定の目的のために公開されたセキュリティまたはコンプライアンス要件が含まれます。このような種類のプログラムに対しては、AWS から機能 (セキュリティ機能など) およびサポートドキュメント (コンプライアンス計画書、マッピングドキュメント、ホワイトペーパーなど) が提供されます。
規制遵守についての議論では、責任共有モデルについて言及することが重要です。 AWS は最先端の技術を導入し、可能な限りグローバルおよびリージョナルに業界標準の認証と証明を取得し、業界のフレームワークと連携して、ヘルスケアコンプライアンスに対応した AWS のサービスの準拠する実装を容易にできるように支援します。 また、責任共有モデルの下、お客様はそのリージョンのヘルスケアコンプライアンスニーズに対応するためのコンプライアンスコントロールと機能を継承することができます。
以下の情報は、代表的な認証、ヘルスケア関連法令、関連フレームワークです。
主要な認定および証明
ISO 9001
ISO 27001、27017、27018
SOC 1、2、3
PCI DSS レベル 1
FedRAMP
主要なアラインメントおよびフレームワーク
クラウドセキュリティアライアンス (CSA)
EU-US Privacy Shield
NIST
BioPhorum IT コントロール
GxP
米国
米国 (主な規制当局: FDA)
米国食品医薬品局 (FDA) は、電子記録と電子署名に関する規制である 21CFRPart 11 を制定しました。21CFRPart11 は、連邦食品医薬品化粧品法、公衆衛生法、または Part 11 以外の FDA 規制に服するライフサイエンス業界に適用されます。これらを総称して「従前規則」と呼びます。要するに、Part 11 が適用されるのは、問題のレコードが前提となる場合です。
続きを読む:
データの完全性と米国 FDA:
世界中の規制当局は、ライフサイエンス業界におけるデータの完全性の問題/懸念に注目し続けています。 FDA は、データの完全性に関するガイダンスを発行して、ライフサイエンス組織に明確な情報を提供し、問題や懸念に積極的に対処できるようにしました。
注目のお客様事例
