アカデミアさんが電子化に消極的な理由の一つとして、コンピュータ化システムバリデーション(CSV)の「重荷」が理由として頻繁に挙げられます。私の想像ですが、そもそもCSVのあり方を考えていく中で、アカデミアの声が反映されてこなかったのかな(反映した方が良いのかなという発想さえもなかった)、と思います。企業出身者がアカデミアに流入し、古巣と同じようなレベルを求めても、ノウハウと経済面の双方でリソースが企業のそれに遠く及ばない様な環境では、当然無理があるわけです。
おもちゃでわかりやすく例えると…
CSVというもの、基本的に導入対象のシステムが、自分の利用環境のなかで、やってほしいことをきちんとやってくれるかを確認するために行います。何を以て、「確認した」と言い切るのかがポイントです。変形ロボット玩具の取扱説明書の記述を確認して、「バン○イはやらかすことが少ないから、これで大丈夫」(≒実績等で判断)とするのか、一度自分でやってみて取説に書かれている通りに車両がロボットに変更するのかを確認するのか(≒受け入れテストの実施)、と言うところです。ここで、当ロボット玩具を保育園で使ったとします。個人で使った場合ではほとんど確認の必要がなかった「耐久性」というのも確認したくなるかも知れません。不特定多数の園児がガチャガチャと変形を繰り返します。さらに、変形途中でポキッと玩具が壊れた場合の園児の泣き顔を想像すると、予備も常備した方が良いかも知れません。諸々考えて、3台常備した場合には変形1000回は耐えてほしいと試算したとします。一般の説明書には載っていませんので、これは玩具メーカーに問い合わせて、耐久テストの開示を請求します(≒監査)。耐久テストをしていない、あるいは開示できないとなった場合は、時間と労力を割いて自分で確認する(≒PQ)か、とりあえず現状で試験的に運用してみて(≒パイロット)、壊れるまでの期間をチェックします。
ブドウ糖90%と書かれているが…どう確認するか。いや、そもそも確認する必要があるのか。
そもそも同じレベルである必要があるのか?
取説の説明書を一読する、簡単なテストをする、監査をする、自分の特殊な環境に適しているかをテストする、「どこまでやるのか」は様々です。CSVをどこまでやるかの根底には、リスクアセスメントの考え方があるかと思います。そこで、企業が抱えるリスクと、アカデミアが抱えるリスクとが同程度であるのか、というのは議論しても良いんじゃないかと思います。正式に監査をせずとも、「弊社の業務手順に従って適切にバリデーションしました云々」の類いの文書はもらえたりしますし、詳細に確認をしたいのならベンダー監査という手もありますし、「自分で確認しなければならない」となる前に、色々と出来ることはあると思います。
バージョンアップを恐れて問題が発生してしまう
ソフトウェアのバージョンアップも然りで、バリデーションの重荷を恐れるあまり延々と古いバージョンを使い続けるというディレンマに陥ります。利用環境がコントロール出来る状況なら良いのですが、EDCやCDMS含め、データベースは不特定多数の人がいろんなパソコンや携帯端末からアクセスすることが大概です。古いバージョンのリリース当時では想定していなかった(想定し得なかった)ようなことが、技術の進歩とともに起こります。例えば、AdobeのFlash。ちょっと前まではデファクトスタンダードとしていろんなシステムに採用されていたのが、近年では脆弱性が指摘され、多くの端末では標準では使用不可になっています。ブラウザのポップアップ機能も、同様の理由で近年では敬遠されてきています。どちらについても、使用可能にする手段はあるのですが、業界全体として少々「見放している」節があるため、言い換えれば「脆弱性を了承の上導入して下さい」と言っているようなものです。バージョンアップをするリスクには敏感でも、バージョンアップをしないリスクについてはなかなか理解しづらいところがありますが、EDCやCDMS含め、実際に色んなソフトウェアでこの問題は起きています。私がアカデミアに務めていた数年前、企業治験で、マイクロソフト社自身も「もうセキュリティ上まずいので使用しないで下さい」と言っていたバージョンのブラウザの使用を強制されたことがありました…そして今、ベンダーをサポートする立場としても、既にサポートが打ち切られているソフトと利用環境の組み合わせ(*「組み合わせ」については後日補足)に遭遇することがしばしばです。
そう言われましてもこのパソコンにそのブラウザはインストールできません!
疑いだすとキリが無い
最新版で更新・改修・新規実装される機能は必ず新バージョンのリリースノートで確認できます。ソフトウェアの仕様は製品マニュアルで確認が出来ます。製品マニュアルの根拠は、監査を通して確認出来ます。ベンダーも、当然これをきっちりやるということが義務づけられておりますし、なによりいい加減な仕事をすることでお客さんが離れていくという恐ろしいリスクを常に抱えています。「これで良い!」というのは、最終的に導入先が、自身の責任で決めることです。ですがだからといって、ベンダー側で既にテストしていることを全てやり直す必要があるのか…企業レベルのバリデーションをもってしても、予期せぬ不具合は散見されます。
コメント