sipのプライバシーとセキュリティに関する、施設 …...sip 登録画面で、sip...
TRANSCRIPT
1
SIPのプライバシーとセキュリティに関する、施設および治験医師向けのよくある質問
目次
プライバシー
1. SIPのプライバシーポリシーはどこで確認できますか? ........................................................................................... 3
2. SIPの利用規約はどこで確認できますか? ......................................................................................................... 3
3. SIPユーザーとして登録する際、同意する必要があるものはありますか? ............................................................. 3
4. これらの一部に同意したくない場合はどうすればいいですか? .............................................................................. 3
5. 治験医師レジストリとは何ですか? ................................................................................................................... 4
6. 同意後には、どのような情報が収集されますか? ............................................................................................... 4
7. すべての企業が各サイト/ユーザープロフィールにアクセスできるということですが、私のデータのデ
ータ管理は誰が行うのですか? ......................................................................................................................... 6
8. データの処理には、どのような法的根拠が使用されていますか? ....................................................................... 6
9. どのスポンサーが自分の情報にアクセスするのか、どうすればわかりますか? ........................................................... 6
10. スポンサーを選択して、私の情報へのアクセスを制限することはできますか? ......................................................... 6
11. 私の情報は第三者と共有されますか? どういった組織ですか? ......................................................................... 6
12. SIP内での情報共有への同意を取り消すにはどうすればよいですか? .................................................................. 7
13. レジストリ内での情報共有への同意を取り消すにはどうすればよいですか? .......................................................... 7
14. アカウント/情報は、どのくらいの期間SIP内でアクティブに保たれていますか? ....................................................... 7
15. アカウントを削除するにはどうすればよいですか? ................................................................................................ 7
16. 施設プロフィールまたは部署プロフィールの設定のための同意は、別途ありますか? ............................................... 8
2
17. 各施設スタッフについては、どのような情報が保存されますか? ............................................................................ 8
18. スタッフがSIPに登録した場合、その情報にアクセスできるのは誰ですか? ........................................................... 10
19. スポンサーを選択して、所属する機関またはスタッフ情報へのアクセスを制限する方法はありますか? ................... 10
20. 情報が他の当事者と共有されると、機関に通知がありますか? ........................................................................ 10
21. システムはCookieを使用していますか? ........................................................................................................... 11
セキュリティ
1. サイトユーザーのアクセス権とデータへのアクセス許可は、どのように決められるのですか? ..................................... 13
2. 利用規約では、SIPには100%マルウェアがないとは保証しかねると述べています。なぜでしょうか? ....................... 14
3. データの安全性の確保には、どうすればいいでしょうか? .................................................................................. 14
4. SIP内のデータの潜在的「誤用」を回避するために、どのようなセキュリティ対策が講じられていますか? ............... 14
一般的なコンプライアス
1. SIPは一般データ保護規則(「GDPR」)に準拠していますか? ........................................................................... 16
2. SIPは医薬品の臨床試験の実施の基準(GCP)要件に準拠していますか? .................................................... 16
3
SIPのプライバシーとセキュリティに関する、施設および治験医師向けのよくある質問
I. プライバシー
1. SIPのプライバシーポリシーはどこで確認できますか?
プライバシーポリシーは、SIP ランディングページ
(https://www.sharedinvestigator.com/home)で閲覧できます。登録を予定されているユー
ザーは、登録前に必要に応じて、または登録時にポリシーを確認できます。登録後には、プラ
イバシーポリシーへのリンクが、システム内のすべてのページの一番下に表示されます。
注意:Exostar が提供するシングルサインオンサービスには、別途プライバシーポリシーがありま
す。これには、登録ページまたは Exostar のウェブサイトからアクセスできます。
2. SIPの利用規約はどこで確認できますか?
利用規約は、SIP ランディングページ(https://www.sharedinvestigator.com/home)で確認
できます。登録を予定されているユーザーは、登録前に必要に応じて、または登録時に利用
規約を確認できます。
3. SIPユーザーとして登録する際、同意する必要があるものはありますか?
SIP にサインアップする前、取得がまだであれば、まず Exostar からシングルサインオンを取得す
る必要があります。そのプロセスの一環として、Exostar のプライバシーポリシーおよび利用規約
に同意する必要があります。
SIP 登録画面で、SIP プライバシーポリシーと利用規約に同意するよう求められます。また、治
験者共有プラットフォームおよび治験医師レジストリによるお客様情報の管理に同意するよう
求められます。集められた情報は、臨床試験への研究者の募集を目的として、すべての参加
スポンサーに使用可能となります。
4. これらの一部に同意したくない場合はどうすればいいですか?
治験医師は、すべての同意ボックスをチェックしないとSIPに登録できません。ただし、いつでも
同意を取り消し、システムの使用を中止する権利を有しています。
4
5. 治験医師レジストリとは何ですか?
治験医師レジストリは、DrugDev および TransCelerate Biopharma, Inc.、およびそのメンバー
企業によって作成された、同意済み治験医師、施設、および治験の詳細の共有リポジトリで
す。データベースは、過去の経験に基づく資格ある治験医師の特定や募集が迅速に行えるよ
う設計されており、サイトの認定活動の重複を防止します。SIP に参加すると、お客様の情報
を治験医師レジストリ内で共有することに同意したものとみなされます。
6. 同意後には、どのような情報が収集されますか?
SIPは、次に記載する治験医師情報を、SIPユーザープロフィール内で保存します。
データカテゴリ セクションヘッダー データ要素
CV生成に必要
基本詳細
氏名と重要な連
絡先の詳細
肩書
名前 はい
ミドルネーム
名字 はい
サフィックス
イニシャル
携帯電話 はい
電子メールアドレス
職名と役割 職名/職業 はい
役割 はい
主な勤務先の
所在地
会社/機関名
通りの名前と番地 はい
建物/階/部屋/スイート はい
その他の住所情報
国 はい
都道府県/地域 はい
市 はい
郵便番号
その他連絡先の
詳細
主/日中に連絡可能な電話
番号
夜間に連絡可能な用電話
番号
24時間に連絡可能な電話
番号
ファックス番号
ポケットベル番号
5
施設
該当なし
施設 少なくとも1つの施設が必要で
す 部署
都道府県/地域
国
学歴
該当なし
学位/免許 少なくとも1つの記録を追加する
か、セクションに「該当なし」とマ
ークします
機関
専門
修了年
職歴
該当なし
職名 1つの記録を追加するか、もしく
はセクションに「該当なし」にマー
クします
機関/部署
開始年
現在の地位
修了年
研究経験 治験タイプ 複数選択オプション 「治験タイプ」と「治験の相」には
少なくとも1つの選択肢を選択、
「専門の治療領域」と「合計臨
床研究経験」には1つの記録を
追加するか、もしくはセクション
の「該当なし」にマークします
治験の相 複数選択オプション
専門の治療領
域
専門の治療領域
副次的な治療領域
臨床研究経験
の合計
治療領域
副次的な治療領域
完了した治験の数
進行中の治験の数
GCPトレーニング
該当なし
コースプロバイダー 少なくとも1つの記録を追加する
か、セクションに「いいえ」と回答
します
完了日
有効期限
ステータス
トレーニング証明書
免許の詳細
該当なし
免許の種類 少なくとも1つの記録を追加する
か、セクションの「該当なし」にマ
ークします
免許発行者
専門資格番号
都道府県/地域
国
発行日
有効期限
証明書類
プロフィール添付
ファイル 該当なし
ドキュメント名 不要
ドキュメントの説明 不要
出版物およびプ
レゼンテーション 出版物
ジャーナル/要約引用 不要
発行日 不要
6
プレゼンテーショ
ン
プレゼンテーションタイトル 不要
場所 不要
日付 不要
7. すべての企業が各サイト/ユーザープロフィールにアクセスできるということですが、私のデータのデ
ータ管理は誰が行うのですか?
治験医師データの管理者(SIPで保存される唯一のプロセス済み個人データ)は、参加スポン
サー企業です。Cognizant、Exostar、DrugDevのいずれも、SIPに収集された治験医師データ
を管理することはありません。
Exostarには、SIPへのサインインを目的としてExostarアカウントを設定する際、ユーザーが送
信するログインおよび登録データを管理する権限があります。これは、ユーザー名およびユーザ
ーの電子メールです。SSOシステムは、SIP外部に他のクライアントを持つスタンドアロンシステ
ムであるため、Exostarにはこのデータに対する管理権が必要です。
8. データの処理には、どのような法的根拠が使用されていますか?
同意が、ユーザーが SIP に追加したデータの処理の基盤となる法的根拠です。
9. どのスポンサーが自分の情報にアクセスするのか、どうすればわかりますか?
現在SIPに参加しているスポンサーの一覧は、登録ページとプライバシーポリシーのセクション8
に記載されているハイパーリンクから入手できます。新しいスポンサーがシステムに参加すると、
システムへの参加を知らせる通知がお客様に送信されます。これらの新しいスポンサーには、
治験医師情報へのアクセス権もありますが、特定の臨床試験からのすべてのデータにアクセス
できるわけではありません。ここでも、お客様には、いつでも同意を撤回しシステムの使用を停
止する権利があります。
現在治験医師レジストリに参加しているスポンサーの一覧は、プライバシーポリシーのセクション
8でご覧いただけます。
10. スポンサーを選択して、私の情報へのアクセスを制限することはできますか?
参加するすべてのSIPスポンサーには、すべての登録済みサイトユーザーのユーザープロフィール
情報に対する読み取り専用アクセス権があります。スポンサーとのやり取りなど、プラットフォーム
を通じて提供されたその他の情報は、他のスポンサーと共有されません。
11. 私の情報は第三者と共有されますか? どういった組織ですか?
スポンサーは、CognizantやDrugDevを含む、プラットフォームまたはレジストリの運営に必要なサービスを提供するサービスプロバイダーとお客様の情報を共有しますが、これ以外の場合は本プライバシーポリシーに開示されます。スポンサーは、臨床研究機関など、臨床試験の実施支援を目的として保持する第三者パートナーに、お客様の情報を共有する場合もあります。また、本システムは、IDアクセス管理サービスを提
7
供するExostar LLCなどこの他の信頼できる第三者を使用して、追加サービスを提供することもあります。したがって、スポンサーへのサービス提供に必要な場合、お客様の情報はこれらの第三者パートナーに提供され、使用されます。
12. SIP内での情報共有への同意を取り消すにはどうすればよいですか?
SIPヘルプデスク([email protected])までご連絡ください。SIP内での情報共有への同
意の取り消しは、SIPのみを対象とし、レジストリは対象とならないことにご注意ください。
ただし、進行中の臨床試験に関する情報や、スポンサーが法的な要求事項を満たすために保持する必要がある情報は削除されませんのでご注意ください。結果として:
現在進行中の臨床試験に参加している場合には、リクエストは実行されません。試験の完了時にリクエストを再送信する必要があります。
プラットフォームを利用した臨床試験に参加したことがある場合、お客様のプロフィールはプラットフォーム上には表示されませんが、関連するスポンサーは、記録管理上の義務から、必要に応じて情報を保持します。
13. レジストリ内での情報共有への同意を取り消すにはどうすればよいですか?
SIPヘルプデスク([email protected])までご連絡ください。レジストリと調整いたします。
14. アカウント/情報は、どのくらいの期間SIP内でアクティブに保たれていますか? アカウントを削除していない場合、プラットフォームに 3 年間ログインしないと、アカウントが自動的に閉鎖され、その後情報が削除されることがあります(記録保存目的で保持する必要がある情報を除く)。アカウントの閉鎖前にメール通知が届きますので、アカウントにログインして閉鎖を防ぐ時間があります。
15. アカウントを削除するにはどうすればよいですか? プラットフォームに表示されないようアカウントを閉鎖したい場合は、SIPヘルプデスク([email protected])までお問い合わせください。ただし、進行中の臨床試験に関する情報や、スポンサーが法的な要求事項を満たすために保持する必要がある情報は削除されませんのでご注意ください。結果として:
現在進行中の臨床試験に参加している場合には、リクエストは実行されません。試験の完了時にリクエストを再送信する必要があります。
プラットフォームを利用した臨床試験に参加したことがある場合、お客様のプロフィールはプラットフォーム上には表示されませんが、関連するスポンサーは、記録管理上の義務から、必要に応じて情報を保持します。
8
16. 施設プロフィールまたは部署プロフィールの設定のための同意は、別途ありますか?
サイトユーザーは、最初の登録時にすべての条件に同意します。施設または部署の作成中
に、その他の同意を受け入れる必要はありません。
詳細については、プライバシーポリシーのセクション8–EEAデータ管理者を参照してください。
17. 各施設スタッフについては、どのような情報が保存されますか?
SIPでは、施設スタッフに関する次の情報を、SIPユーザープロフィール内に保存します。施設ス
タッフユーザーについて保存される情報は、治験医師と同じです。唯一の違いは、CV生成に
必須のフィールドです。
データカテゴリ セクションヘッダー データ要素
施設スタッフ-CV生成
に必要
基本詳細
氏名と重要な連絡先
の詳細
肩書
名前 はい
ミドルネーム
名字 はい
サフィックス
イニシャル
携帯電話 はい
電子メールアドレス はい
職名と役割 職名/職業
役割 はい
主な勤務先の所在地
会社/機関名
通りの名前と番地 はい
建物/階/部屋/スイート はい
その他の住所情報
国 はい
都道府県/地域 はい
市 はい
郵便番号
その他連絡先の詳細
主/日中に連絡可能な電
話番号
夜間に連絡可能な電話番
号
24時間連絡可能な電話番
号
ファックス番号
9
ポケットベル番号
施設
該当なし
施設 少なくとも1つの施設が
必要です 部署
都道府県/地域
国
学歴
該当なし
学位/免許 少なくとも1つの記録を
追加するか、セクション
の「該当なし」にマーク
します
機関
専門
修了年
職歴
該当なし
職名 少なくとも1つの記録を
追加するか、セクション
の「該当なし」にマーク
します
機関/部署
開始年
現在の地位
修了年
研究経験 治験タイプ 複数選択オプション 「治験タイプ」と「治験
の相」には少なくとも1つ
の選択肢を選択、「専
門の治療領域」と「合
計臨床研究経験」に
は1つの記録を追加す
るか、もしくはセクション
の「該当なし」にマーク
します
治験の相 複数選択オプション
専門の治療領域 専門の治療領域
副次的な治療領域
臨床研究経験の合
計
治療領域
副次的な治療領域
完了した治験の数
進行中の治験の数
GCPトレーニング
該当なし
コースプロバイダー 少なくとも1つの記録を
追加するか、セクション
に「いいえ」と回答しま
す
完了日
有効期限
ステータス
トレーニング証明書
免許の詳細
該当なし
免許の種類 少なくとも1つの記録を
追加するか、セクション
の「該当なし」にマーク
します
免許発行者
専門資格番号
都道府県/地域
国
発行日
有効期限
証明書類
プロフィール添付フ
ァイル 該当なし
ドキュメント名 不要
ドキュメントの説明 不要
10
出版物およびプレ
ゼンテーション 出版物
ジャーナル/要約引用 不要
発行日 不要
プレゼンテーション
プレゼンテーションタイトル 不要
場所 不要
日付 不要
18. スタッフがSIPに登録した場合、その情報にアクセスできるのは誰ですか?
SIPに参加するすべてのスポンサーユーザーは、登録されているすべてのSIPサイトユーザーのSIP
サイトユーザープロフィールにアクセスできます。サイトユーザーには、次の例外を除き、他の施設
ユーザーのユーザープロフィールを閲覧することはできません:
施設プロフィールマネージャー – 施設プロフィールマネージャー、施設の責任者、および
施設の責任者代理人は、その施設をユーザープロフィールに追加した治験医師および
施設スタッフのユーザープロフィールを閲覧できます。
部署プロフィールマネージャー - 部署プロフィールマネージャー、施設の責任者、および
施設の責任者代理人は、その施設内部署をユーザープロフィールに追加した治験医
師および施設スタッフのユーザープロフィールを閲覧できます。
ユーザープロフィール代理人 – 治験医師または施設スタッフメンバーによってユーザープ
ロフィール代理人として選択された方はユーザープロフィールを閲覧および更新できます。
組織スタッフ – 施設との関係が確認された組織は、それらの施設に所属するスタッフの
ユーザープロフィールを表示できます。プロフィールを表示する機能は、組織と施設の関
係の性質によって異なります。これはリリース R3.1 に新しく紹介されています。この関係
の詳細は、組織プロフィールで使用できます。
施設、部署、組織の定義はこちらを参照してください。
19. スポンサーを選択して、所属する機関またはスタッフ情報へのアクセスを制限する方法はありま
すか?
いいえ。参加するすべてのSIPスポンサーには、登録済みサイトユーザーすべてのユーザープロフ
ィール情報に対する読み取り専用アクセス権があります。スポンサーは、SIP内にあるすべての
施設/部署および組織のプロフィールに対する読み取り専用アクセス権も持つことになります。
20. 情報が他の当事者と共有されると、機関に通知がありますか?
登録プロセスの一環として、各ユーザーは、治験者共有プラットフォームおよび治験医師レジス
トリにおけるお客様情報の使用に同意します。集められた情報は、臨床試験への治験医師
の募集を目的として、すべての参加スポンサーに使用可能となります。情報が閲覧されても、
機関に通知はされることはありません。
11
21. システムはCookieを使用していますか?
はい。以下にあるCookieのタイプ、用途、およびオプトアウトが可能な場合、およびその方法を
示した表をご覧ください。
Cookieのタイプ なぜ使用するのですか? オプトアウトの方法は?
分析Cookie プラットフォームは、内部業務報告の理由
で使用される分析情報を収集し、プラット
フォームの改善と開発を支援するために
Cookieを使います。
下の説明に従ってブラウザ設定を変更す
ることで、これらのCookieを削除することが
できます。
認証Cookie
(第三者Cookie、例
えば、Exostar, LLC
が提供するもの)
プラットフォームへのアクセスを希望する承
認済みユーザーが提供するログイン資格
情報の検証に使用されます。第三者は、
検証された承認済みユーザーのデバイス
にCookieを使用し、プラットフォームの安
全な領域にアクセスできるようにします。
これらのCookieは、プラットフォームへの安
全なアクセスの提供に必要不可欠です。
ただし、下の説明に従ってブラウザ設定を
変更することで、これらのCookieを削除す
ることができます。
パーソナライゼーショ
ンCookie
(第三者Cookie、例
えば、Exostar, LLC
が提供するもの)
これらのCookieを使用すると、プラットフォ
ームへのアクセスに使用されるブラウザのタ
イプ、プラットフォームにアクセスする地域
構成などを設定するなど、パーソナライズ
されたバージョンのプラットフォームにアクセ
スできます。
下の説明に従ってブラウザ設定を変更す
ることで、これらのCookieを削除することが
できます。
エッセンシャル/テクニ
カルCookie
これらは、承認済みユーザーがプラットフォ
ームを閲覧し、異なるオプションやサービス
を使用できるようにするCookieです。これ
により、例えば、お客様がプラットフォーム
のページにいる時に、プラットフォームがお
客様を記憶します。
これらのCookieは、プラットフォームの使用
に必要不可欠です。
ただし、下の説明に従ってブラウザ設定を
変更することで、これらのCookieを削除す
ることができます。
これを行う場合、ブラウザの環境設定またはオプションメニューにこれを示すことで、お使いのデバイス上のCookieを無効にすることができます。ただし、特定のCookieを無効にすると、プラットフォームの一部が正しく動作しなくなります。Cookieの無効化に関するご質問がある場合、ブラウザのプロバイダ/製造元にご相談ください。
Cookie の設定を構成するか、次のリンクを使って、利用可能な主要ブラウザでCookie を無効にすることができます。
12
o Google Chrome https://support.google.com/accounts/answer/61416?hl=en
o Mozilla Firefox https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-
website-preferences
o Internet Explorer http://windows.microsoft.com/en-gb/internet-explorer/delete-
manage-cookies#ie=ie-10-win-7
o Safari https://support.apple.com/kb/PH17191?viewlocale=enUS&locale=enUS
o Safari for IOS(iPhone および iPad) https://support.apple.com/en-gb/HT201265
o Android 用 Chrome https://support.google.com/chrome/answer/2392971?hl=en-GB
13
II. セキュリティ
1. サイトユーザーのアクセス権とデータへのアクセス許可は、どのように決められるのですか?
SIP は、各ユーザーに割り当てられた役割に基づいて、ユーザーの情報へのアクセスを制御しま
す。治験に参加する前にサイトユーザーが治験医師または臨床研究ユーザーとして SIP に登
録される場合、そのユーザーは、SIP 内の下のデータにのみアクセスできます。
a. 独自の委任されたユーザープロフィール(質問#7 の、CV フィールドの詳細参照)。
b. 独自の割り当て済みおよび完了したトレーニング、SIP の GCP および情報プログ
ラムコース。
c. SIP で使用可能な施設の名称と所在地。次の施設詳細へのアクセスは、ユーザ
ーが施設に関連付けられている場合にのみ許可されます。
施設の連絡先
治療領域と患者数
IRB/ERB/倫理委員会
現地、中央、審査委員会のみ IRB/ERB/倫理委員会
その他の審査委員会
ローカルラボ
同意およびトレーニング
施設および設備
治験薬(IP)および規制薬物
原資料
追加情報および添付ファイル
d. サイトユーザーが受信者である場合の割り当てられた調査
e. 独自の CV、医療ライセンス、ユーザープロフィールの添付ファイル、トレーニング証
明書、現地、中央 IRB/ERB/倫理委員会の添付ファイル、治験薬および規制
薬物書類などの関連施設文書等、共通文書
f. サイトユーザー登録と施設/部署担当者の詳細レポート
サイトユーザーが治験に関連付されると、ユーザーが施設スタッフとして作業できるよう、治験
作業空間データと治験施設データにアクセスするための権限がさらに付与されます。割り当て
られた施設スタッフの役割に基づいて、アクセス権限が拡張され、システム内の治験レポートが
表示されます。サイトユーザーが施設スタッフの役割から削除されると、治験作業空間を表示
するアクセス権限が取り消され、治験データへのアクセスができなくなります。
SIPのサイトユーザーに割り当てられる各役割に対するこれらのアクセス権限は、モジュール/ビ
ジネス機能レベルでの各スポンサーおよびサイトユーザーの役割のアクセスを定義する、包括
的な「役割基盤」マトリックスで定義されます。
14
SIP 役割マトリックスは各 SIP リリースで更新され、またシステムへのテストにより、ユーザーが役
割に基づいて適切な情報へのアクセスを許可されていることが確認されます。役割基盤のアク
セスに対する大きな変更は、必要に応じてユーザーに通知されます。
ユーザーのプライバシーに影響を与えるデータアクセスの変更は、情報のリリース前にユーザーに
通知されます。
2. 利用規約では、SIPには100%マルウェアがないとは保証しかねると述べています。なぜでしょうか?
残念ながら、有害因子は Web 上に継続的に存在し、これらの攻撃に対する完全な免疫を
保証することは不可能であるため、業者は 100%の保証を提供することはできないのです。ただ
し、SIP を保護するためのセキュリティ対策が講じられています。これらの対策の詳細について
は、下を参照してください。
3. データの安全性の確保には、どうすればいいでしょうか?
すべての SIP ユーザーには、自分のパスワードの機密性を維持する責任があり、組織内にい
る他のユーザーとログイン資格情報を共有してはなりません。組織の複数のユーザーに 1 つの
アカウントを使用させるのではなく、サイトユーザーは各自アカウントを持ち、作業の委任する場
合は、システム上で正式に委任する必要があります。これは、セキュリティの観点から非常に重
要です。
自分のアカウントが不正にアクセスされ、セキュリティが確保できないと思われる場合は、直ちに
SIP ヘルプデスク([email protected])にご相談ください。
4. SIP内のデータの潜在的「誤用」を回避するために、どのようなセキュリティ対策が講じられてい
ますか?
SIP では、お客様情報のセキュリティ確保のために、次のセキュリティ対策が講じられています。
インフラストラクチャ - SIP は、非武装地帯(DMZ)内にあるセキュリティで保護されたデー
タセンターで管理されています。これは基本的に、監視とスキャン機能を提供するファイアウ
ォールやその他のツールの使用で可能になります。ツールによってトリガーされたイベントはサ
ポートデスクに送信され、そこで、明確に定義された SOP に基づいて処理されます。
ファイアウォール - ファイアウォールと関連する侵入防御システム(IPS)モジュールが、不
要または悪意のあるネットワークトラフィックを防止し、送信元と宛先に応じて正当なネッ
トワークトラフィックを正しく指示することで、ネットワークセキュリティを提供します。すべて
のファイアウォールインスタンスに関連付けられ、DMZ トラフィックをスキャンするよう構成
されている IPS モジュールがあります。ファイアウォールには、インフラストラクチャの遠隔管
理用 SSL VPN 機能もあります。RSA の 2 要素認証と統合された SSL VPN ソリュー
15
ションは、更なるセキュリティを提供します。RSA は、ユーザー認証の検証に、2 つの要
素(PIN+トークンコード)の組み合わせを使用します。
ウイルス対策 – ここで使用されるウイルス対策ツールは、ウイルス対策、スパイウェア対
策、ファイアウォール、および侵入防御技術を組み合わせて、悪意のあるソフトウェアを
止め、削除します。また、新しいセキュリティリスクに対応し、業界最小のシステムパフォ
ーマンスへのインパクトで、アウトブレークへの対応コストを削減します。
セキュリティ情報およびイベント管理(SIEM) – SIP は SIEM ソフトウェアを使用し、ホス
トシステムやアプリケーションから、ファイアウォールやウイルス対策フィルタなどのネットワー
クおよびセキュリティデバイスまで、インフラストラクチャ全体で生成されたログデータを収
集し集約します。
暗号化 - プラットフォームは、業界標準の 128 ビット「セキュアソケット層」暗号化を使用し
て、お客様がプラットフォームの安全な領域にアクセスする際に、お客様の個人情報を保
護します。
列レベルの暗号化と PII データの復号化に使用される、高度な暗号化 基準(AES)ア
ルゴリズム
AES128 アルゴリズムを使用した Oracle 標準パッケージ DBMS_CRYPTO は、個人を
特定できる情報(PII データ)を暗号化されたフォーマットで保存するために使用されます
インターネットまたは公共ネットワークを介した送信は100%安全であると保証することはできませ
ん。そういったネットワークを介した送信へのセキュリティ侵害に対する責任は負いかねますので
ご注意ください。
アクセス制御 – SIP アプリケーションは、治験、サイト、役割などの重要なデータセットを管
理するために、個々のユーザーのアクセス制御情報を維持します。
権限チェック - SIP アプリケーションは、ログインしたユーザーが、要求するリソースまたは
データセットへのアクセスを許可されているかどうかを確認します。たとえば、ユーザーが特
定の治験または治験施設をクリックすると、アプリケーションがデータベース内の情報への
アクセスを提供する前に承認チェックを実行し、ユーザーがその治験または治験施設に
有効にアクセスできることを確認します。
データベースクエリ – システムは、特定のユーザーおよび組織に対してアクセス可能なデ
ータのみが返されるよう、データベースクエリを使用して設計されています。
シングルサインオン - スポンサー(メンバー企業とも呼ばれる)ユーザーが SSO を使って
ログインすると、そのことにより自分が関連付けられている組織情報をアプリケーションが
受信します。
Exostar – Exostar はサイトユーザーの資格情報を維持し、サイトユーザー認証を実行
します。当社の SSO プロバイダのセキュリティに関する詳細については、Exostar
([email protected])にお問い合わせください。
16
スポンサーレベルのセキュリティ - スポンサーとそのサービスプロバイダーは、偶発的または違
法な破壊、および偶発的紛失、改ざん、不正な開示またはアクセス、ならびに他のすべて
の違法な処理から個人を特定できる情報(PII)を確実に保護するために、適切な技術
的、管理的、組織的措置を講じる責任を負います。スポンサーの情報セキュリティに関す
る情報の詳細については、各スポンサーに直接お問い合わせください。スポンサー連絡先
は、SIP ヘルプデスクから入手できます。
プラットフォーム上のウイルス対策エンジン:SIP が使用するウイルス対策エンジンは、ファイ
ルのアップロード要求がポータルサーバーに届くたびに起動します。アップロード中のファイル
がウイルスに感染したファイルである場合、スキャナは例外をスローし、SIP 画面にカスタム
メッセージを表示します。
定期的な脆弱性評価 – SIP 開発およびサポートチームは、アプリケーションコードとインフ
ラストラクチャの定期評価に関与しています。チームは、コードの定期評価を実行します。
静的アプリケーションセキュリティテスト(SAST)は、OWASP TOP9(オープン Web アプリ
ケーションセキュリティプロジェクト)で定義されている脆弱性コードベースの見直しに使
用されます。
動的アプリケーションセキュリティテスト(DAST)は、実行中アプリケーションのセキュリティ
脆弱性を示す条件を検出するために使用されます。
インフラストラクチャの脆弱性評価は、アプリケーション管理の基盤となるソフトウェアおよ
びハードウェアの脆弱性を検出するために実行されます。
侵入テストは、システム構成の欠陥や脆弱なパスワードなどの既知の脆弱性と、ネット
ワーク侵入への試みを検知するために実行されます。
III. 一般的なコンプライアス
1. SIPは一般データ保護規則(「GDPR」)に準拠していますか?
はい。
2. SIPは医薬品の臨床試験の実施の基準(GCP)要件に準拠していますか?
はい、GCP 要件はユーザー要件に含まれており、システムのテストにより、各リリース中にこれら
の要件が満たされていることが確認されます。