当ブログのタイトルにも入っている「監査証跡」と言う言葉、臨床試験・研究に携わる方々でもあまり馴染みのないものだと想像します。監査証跡という言葉は、研究の業界のみならず、また厳密には電子化の有無を問わず、広く浸透している概念です。銀行の出入金システムも、某大手スーパーの在庫管理システムも、指紋認証システムも、「監査証跡」というものを残しています。臨床試験・研究のデータマネジメントシステム(CDMS)や情報収集システム(EDC)も例外ではありません。一行で説明すると、結果に至るまで何が起きたのか(=証跡)が第三者に理解できる(=監査できる)形で示されることです。いまいちピンとこないと思いますが、大事なことなので「大丈夫?編」と「わかってる?編」の前後編に分けてしっかり説明していきたいと思います。
何が起きたのか
一度EDCに入力したデータを何か変更した場合、画面上には変更後の値しか表示されません。何回変更を重ねても、入力枠内に表示されるのは最後に入力した値のみです。監査証跡には、これらのデータの「変更前」と「変更後」が時系列に「変更履歴」として保存されます。多くのEDCシステムでは、入力画面からこれらが参照できます。
誰が、いつ操作したのか
データの変遷と同じくらい重要なのが、「誰が操作をしたのか」および「いつ操作が行われたのか」という情報です。EDCの場合は、例えば値を変更した場合には、ログイン中のユーザー、そして変更が行われた日時が、前述の変更履歴にセットで保存されます。多くの方々が経験されていると思いますが、EDCのトレーニング時に次のことを注意されると思います:
- 一つのアカウントは一個人のもの;複数人で一つのアカウントを利用することは禁止
- 他人の代理で操作をすることは禁止
上記の原則には、パスワードが複数人に知れ渡ってしまうことを防ぐという意義も当然ありますが、監査証跡の「正しさ」を担保するためのルールでもあります。複数人で一つのアカウントを利用する、あるいは他人の代理で操作を行うと、監査証跡に記録される変更履歴を第三者が見た場合に、誰が操作をしたのかがわからなくなってしまいます。
監査証跡自体は変更不可
監査証跡は、いつ、誰が、何を行ったのかが後から完璧に再現できるのが存在意義です。そのため、監査証跡自体は、いかなる権限をもってしても、変更は不可能な様になっています。例えば、データを一回変更して、その後変更自体が勘違いだったと気付いて元のデータに直した(血圧を120から144に変更して、直後に144から120に戻す等)ときに、これも全て監査証跡に記録されます。こういった監査証跡の「ゴミ」を消去してすっきりさせたくなるのが人間ですが、原則不可能です。紙媒体においては差し替えるという強引な手段もありましたが、EDCでは不可能です。と言うより、出来たとしたらアウトです。監査証跡に関しては、潔癖になることは諦めるしかありません。
製本し終わった後にミスが見つかったら印刷しなおすか、二重線訂正・捺印するかは紙媒体ならではの悩み
誰かのせいにするためではない
「誰が操作を行ったのか完璧に追えるのはなんだか気持ち悪い」ですとか、「監視されているみたいで嫌だ」、あるいは「我々は個々人ではなく看護・検査部全体で責任をとっているわけだから」等の意見を、データマネジメントに触れて間もない方々から聞くことがあります。ぐちゃぐちゃにしてしまったら様式ごと差し替える…部門長が全員を代表してハンコを押印…という運用から、それが出来ない環境に移行するにあたって、当然に抱く懸念だと思います。ですが、監査証跡に特定のユーザー名義で沢山の変更履歴があるのは、特定のユーザーを「責める」ために使われるものではありません。万が一間違いが発覚した場合に、その間違いがいつ起きたのか、というのが再現できるために使われるものです。ユーザー自身を不当な疑いをかけられることから守る、という側面もあります。データ管理においては「人を責めない、結果を責めない、問題に対処する」というのはマネジメント方針とか育成方針とかではなく、前提事項だと考えています。
ですので、「汚い」監査証跡も、その組織の財産ですので、誇りに思ってもらいたいです。
コメント