MOVEit は、MOVEit Transfer 経由で送信される医療情報や MOVEit DMZ に保存される医療情報の監査に関連するタイムスタンプについて、食品医薬品局 (FDA) の基準に完全に準拠しています。

MOVEit Transfer の適合性宣言の全文を以下に示します。

連邦規制基準第 21 章 (21 CFR Part 11) 電子記録、電子署名

(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application を参照)

11.10 クローズドシステムのコントロール
表 1.
要件 MOVEit Transfer の機能
(a) 正確性、信頼性、意図された一貫した性能、および無効または改ざんされた記録を識別する能力を確保するためのシステムの検証。
  • 整合性チェック
  • 改ざん防止監査証跡
  • 否認防止
  • Progress SOC2 Type2 コンプライアンスレポートを参照
(b) 機関による検査、確認、コピーに適した、人間が読み取れる形式と電子形式の両方で、正確かつ完全な記録のコピーを生成する能力。電子記録の当該レビューおよびコピーを実行する機関の能力に関して質問がある場合は、機関に問い合わせる必要があります。
  • 整合性チェック
  • 改ざん防止監査証跡
  • 否認防止
  • Progress SOC2 Type2 コンプライアンスレポートを参照
(c) 記録の保管期間を通じて正確かつ迅速な取得を可能にする記録の保護。

MOVEit Transfer は、監査/アクセスログの保管オプションを提供しています。

お客様がアップロードしたファイルの保管は、お客様によって管理されます。
(d) 許可された個人にシステムへのアクセスを制限。

MOVEit Transfer は制限付きアクセスをサポートしており、すべてのファイルは保管中および転送中に暗号化されます。

Progress PCI-DSS および SOC2 Type 2 コンプライアンスレポートを参照
(e) 電子記録を作成、変更、または削除するオペレータのエントリとアクションの日付および時刻を個別に記録するために、コンピュータで生成され、タイムスタンプが付けられた安全な監査証跡を使用。記録の変更によって、以前に記録された情報が不明瞭になってはなりません。このような監査証跡文書は、少なくとも対象の電子記録に必要な期間保持され、政府機関のレビューとコピーに利用できるものとします。

MOVEit Transfer にアップロードされたファイル内のデータの変更はサポートされていません。すべてのファイルのアップロード、ダウンロード、移動、コピー、削除アクションは、改ざん防止の監査ログに保存されます。

ファイルの上書きは、お客様が構成できるオプションです。
(f) 必要に応じて、運用システムチェックを使用して、手順とイベントの許可されたシーケンスを実施。
注: MOVEit Transfer を使用したファイルアクセス、アップロード、またはダウンロードアクションに関して必要な手順ルールを実施することは、お客様の責任です。
(g) 権限チェックを使用して、許可された個人のみがシステムを使用する、記録に電子的に署名する、操作またはコンピューターシステムの入出力デバイスにアクセスする、記録を変更する、または手元の操作を実行することができるようにする。
  • MOVEit Transfer では、電子署名は適用されません。
  • MOVEit Transfer は制限付きアクセスをサポートしており、すべてのファイルは保管中および転送中に暗号化されます。
  • Progress PCI-DSS および SOC2 Type 2 コンプライアンスレポートを参照
(h) デバイス (端末など) の使用チェックにより、必要に応じて、データ入力または操作指示のソースの有効性を判断する。

(該当なし)

MOVEit Transfer は、MOVEit との間で転送される暗号化されたファイル内のデータの検査、変更、検証を行いません。データの検証は、お客様の責任です。
(i) 電子記録/電子署名システムを開発、維持、または使用する人物が、割り当てられた業務を実行するための教育、トレーニングを受けており経験があることを判断する。 (該当なし)

お客様のユーザーによる MOVEit Transfer の適切な使用は、お客様の責任です。
(j) 記録と署名の改ざんを抑止するために、電子署名に基づいて開始されたアクションに対して個人に説明責任と責任を持たせる書面によるポリシーの確立と遵守。 MOVEit Transfer では、電子署名は適用されません。
(k) 以下を含むシステム文書に対する適切な管理の使用:
  1. システムの運用と保守のための文書の配布、アクセス、および使用に対する適切な管理。
  2. システム文書の時系列の開発および変更を文書化する監査証跡を維持するための改訂および変更管理手順。
(該当なし)

お客様のユーザーによる MOVEit Transfer の適切なトレーニングおよび使用は、お客様の責任です。

MOVEit Transfer のユーザーのための手順の開発、管理、および監査に対して、お客様は責任を負います。

11.30 オープンシステムのコントロール

要件
オープンシステムを使用して電子記録を作成、変更、維持、または送信する人物は、電子記録の作成時点から受信時点まで、電子記録の真正性、完全性、および必要に応じて機密性を確保するために設計された手順および管理を採用するものとします。このような手順および管理には、必要に応じて § 11.10 で特定されたものと、文書の暗号化や適切なデジタル署名標準の使用などの追加の手段を含めて、状況に応じて記録の真正性、完全性、および機密性を確保する必要があります。

タイムスタンプに関する草案セクション 5.1 ~ 5.2

N/A (MOVEit Transfer は、管理者/監査担当者のトレーニングまたはオペレーティングシステムレベルでのマシンクロックの同期について責任を負いません。)

タイムスタンプに関する草案セクション 5.3

「どのタイムゾーン基準を使用するかを明確に理解した上でタイムスタンプを実装する必要があります。システムドキュメントでは、タイムゾーン基準と、ゾーンの略称やその他の命名規則について説明する必要があります。たとえば、タイムゾーン基準は、グリニッジ標準時のような中心となる地点、タイムスタンプに関係するアクティビティが行われたコンピュータがある特定の場所、またはタイムスタンプクロック (タイムスタンプサーバーなど) がある場所にすることができます。」

有効にすると、サーバーの時刻とグリニッジ標準時との差 (通常は GMT +/- HH:MM と表現) が MOVEit Transfer に表示されます。このフィールドは、Web インターフェイスの画面の左下にあり、Web サーバーへのサインオン時に "ウェルカムバナー" として表示されます。

タイムスタンプに関する草案セクション 5.4

「日付と時刻の表現が組織全体で明確に理解されるように対策を講じる必要があります。」

MOVEit Transfer は AM/PM を使用して時刻を示し、日付形式として「MM/DD/YYYY」を使用します。

タイムスタンプに関する草案セクション 5.5

「監査証跡および署名のタイムスタンプは、時および分まで正確でなければなりません。」

MOVEit Transfer の監査証跡は秒単位まで正確です。