監査人が証拠を求めたら、証拠を提供する

なぜ重要なのか

規制業界では、監査証跡は業務そのものであり、財務諸表が会社そのものであるのと同様です。完璧に実行されたコンプライアンスレビューであっても、監査で弁護できなければ、コンプライアンス違反となります。誰が、どのバージョンで、いつ、どのような根拠で何を決定したのかを再現できない規制当局は、根拠となる決定がどれほど優れていても、その業務を受け入れません。

不十分な監査体制のコストは理論上のものではありません。FDAフォーム483の指摘事項、規制当局の同意判決、GDPRの罰金、HIPAAの罰則、民事訴訟、契約紛争など、組織がレビュープロセスの明確で弁護可能な文書を作成できない場合、これらはすべて著しく悪化します。

事後にゼロから監査体制を構築するコストも相当なものです。メールのやり取りや会議のメモから決定を再現するのに何週間も費やすコンプライアンスチームは、実際にはコンプライアンス業務を行っていません。

Aprooveは、自動化された文書ソフトウェア、バージョン管理、監査証跡を同じワークフローに統合します。

このアプローチは、業務の進行に合わせて監査体制を組み込むことを目的としています。プラットフォーム上のすべてのイベントは、規制当局が期待する厳密さで記録され、規制当局が監査する基準を満たすインフラストラクチャ上で実行され、規制当局が要求する証拠を生成するテストプログラムによって検証されます。

「グレード 1」が実際に意味すること

FDA の検査準備を向上させるためのソフトウェアを評価するチームにとって、「グレード 1」は、フォレンジック監査の防御可能性の最高水準の略称です。実際には、これは次の 3 つのことを意味します。

完全性。 重要なすべてのアクションが記録されます。決定、コメント、ファイルの変更、権限イベント、AI エージェントの呼び出し、チャット メッセージ、電子署名、エスカレーション、およびアクセス イベント。何も「他の場所に文書化」されません。監査証跡はプラットフォーム レコードです。

整合性。 記録されたレコードは、こっそり書き換えることはできません。編集または削除されたメモは、監査証跡に元のコンテンツを保持します。編集または削除されたチャット メッセージは、元のメッセージを保持します。権限の付与と変更はログに記録されます。保管の連鎖は損なわれません。

防御可能性。 記録されたレコードは、規制および法的精査をサポートするように構成されています。 FDA 21 CFR Part 11 に基づく電子署名確認により、法的に有効な意思決定記録が作成されます。帰属は人間によるものであり、匿名ではありません (AI による意思決定には、担当者がタグ付けされ、関連付けられます)。タイム スタンプは信頼できます。エクスポートは、規制当局や監査人が実際に要求する形式で利用できます。

これら 3 つの特性が組み合わさることで、ドキュメントは単に徹底的であるだけでなく、フォレンジックになります。

ドキュメント レイヤー

Aproove の監査証跡は、すべてのプロジェクトの完全な運用記録を発生時にキャプチャします。

• すべてのワークフロー イベント (ステップの割り当て、タスクのピックアップ、決定、エスカレーション、競合、競合の解決、完了)。
• すべての決定 には、帰属、タイム スタンプ、ファイル バージョン、必要な場合は電子署名資格情報が含まれます。
• すべてのメモと返信 には、メモが付けられたコンポーネント、作成者、タイム スタンプが含まれます。後でメモが編集または削除された場合でも、オリジナルは保持されます。
• プロジェクト、ファイル、ページ、またはコンポーネント レベルで適用されたすべてのタグ。
• 後でメッセージが編集または削除された場合でも、コンプライアンスのためにオリジナルが保持されるすべてのチャット メッセージ。
• エージェント ID、使用されたモデル、プロンプト、コスト、および調査結果とともにログに記録され、[AI GENERATED] がプレフィックスとして付けられ、担当者に帰属されます。
• すべてのアクセス許可イベント: 誰がアクセスを許可されたか、何がいつ変更されたか。
• すべてのファイル イベント: アップロード、バージョン、処理、削除、名前変更。

プロジェクトの最後にトレイルは組み立てられません。作業の進行に合わせて、作業内容そのものと並行して構築されます。

エクスポートは、規制当局や監査人が実際に要求する形式（PDF（場所アンカー付き注釈付きの証明とコメント）、Excel CSV（プロジェクト履歴とチャット）、特定のコンプライアンスフレームワーク向けに構成可能なテンプレートエクスポート）で、プロジェクトライフサイクル全体を通して利用可能です。

コンプライアンスレイヤー

Aprooveのコンプライアンス体制は、規制対象顧客が最も必要とする標準を網羅しています。

• ISO/IEC 27001認証取得済み。 Aprooveは、年次監視監査と、ポリシー、役割、管理、継続的改善を網羅した文書化された情報セキュリティ管理システム（ISMS）を備えた、アクティブなISO 27001認証を維持しています。
• FDA 21 CFR Part 11電子署名サポート。 ワークフローの決定には、オプションの2FAによる資格情報の確認が必要となり、21 CFR Part 11に準拠した保管履歴と署名意図の記録を含む電子署名が生成されます。 CFR Part 11 の要件。
• HIPAA に準拠したインフラストラクチャ。 保存時の暗号化、テナント分離、転送時の TLS 1.2+、Azure 上の Scrut Automation による HIPAA 証拠収集の自動化。適切なビジネス アソシエイト契約に基づいて PHI を扱う環境に適しています。
• データ プロセッサーとして GDPR に準拠。 Aproove は、顧客のデータ コントローラーの義務をサポートするために必要な文書化されたコントロールと手順を備えた、GDPR に準拠したデータ プロセッサーとして運用されています。
• SOC 2 Type II プログラムが進行中。 Aproove の SOC 2 Type II 準備が進行中で、Azure インフラストラクチャ上で HIPAA 証拠とともに継続的なコントロール証拠収集が自動化されています。

規制対象の顧客にとって、これらの基準はチェックするボックスではありません。これらは規制当局と監査人が話す言語です。Aproove はそれらを流暢に話します。

セキュリティ レイヤー

コンプライアンス認証は必要ですが、十分ではありません。フォレンジック監査の準備には、実証可能な継続的なセキュリティ検証も必要です。Aproove のプログラムには以下が含まれます。

• 年 1 回の第三者による侵入テスト。 Aproove は、定期的に外部侵入テストを実施し、発見事項は文書化された Jira ワークフローを通じて追跡および修復されます。最近のテストには、2024 年 6 月、2025 年 3 月、および 2025 年 10 月が含まれます。
• 顧客主導のセキュリティ テストを受け入れます。 独自のセキュリティ検証を必要とする顧客は、Aproove 環境に対して侵入テストを実施または委託することができ、発見事項は同じ修復プロセスを通じて処理されます。
• 四半期ごとの事業継続性テスト。 Aproove は、バックアップ復元および災害復旧手順を検証する BCT 演習を四半期ごとに実施します。RPO および RTO の目標は、顧客契約に基づき 24 時間です。バックアップ ボールトは、複数の Azure リージョンに展開されます。
• 継続的な脆弱性管理。 パッチ管理メトリクス、脆弱性スキャン完了率、MFA 導入、データ損失防止制御は、継続的なセキュリティ KPI として追跡され、管理レビュー会議でレビューされます。
• 文書化されたインシデント対応。 セキュリティ インシデントは、テンプレート、エスカレーション パス、教訓の記録を含む文書化された対応プロセスに従います。
• 強化されたインフラストラクチャ。 Web サーバーは、「ステルス モード」で構成され、外部スキャンからバージョン情報を隠蔽し、標的型攻撃の対象領域を縮小します。

テスト プログラムにより、顧客がベンダーのセキュリティ スタンスを監査担当者に証明するために必要な証拠が生成されます。

規制当局に提出できるもの

コンプライアンスを証明する必要があるときには、Aproove の顧客は以下を提供できます。

• すべての決定、コメント、タグ、電子署名、およびタイムスタンプと帰属情報を含むエージェント呼び出し。
• 証明とその注釈は、注釈が正確に位置付けられ、帰属情報が付けられたPDF形式で提供されます。
• メモやチャットメッセージが後で編集された場合に、最初に何が書かれたかを示すオリジナルコンテンツ保存記録。
• FDA 21 CFR Part 11に基づく資格情報の確認と署名意図のキャプチャを含む電子署名記録。
• 誰がいつ何にアクセスし、それに対して何をしたかを示す許可とアクセス記録。
• モデル、プロンプト、および責任を負った人間とともに、すべてのAI支援アクションを示すAI来歴記録。
• ISO 27001証明書、侵入テストレポート（適切なNDAに基づく）、BCT結果、およびAprooveの顧客監査をサポートするISMS文書を含むベンダーコンプライアンス文書ベンダー。

エクスポートが成果物です。作業は発生時に文書化されているため、再構築は不要です。

メリット

• 監査の防御性が組み込まれています。 FDA 検査、HIPAA レビュー、GDPR 調査、および同様の規制精査に十分な文書化の厳格さ。
• 業界標準の認証。 ISO 27001 がアクティブ、SOC 2 Type II が進行中、HIPAA に準拠、データ プロセッサーとして GDPR に準拠、FDA 21 CFR Part 11 電子署名をサポート。
• オリジナル レコードの保存。 編集や削除によって履歴を書き換えることはできません。オリジナルは常に監査証跡から復元可能です。
• 継続的なセキュリティ検証。 年次侵入テスト、四半期ごとの事業継続テスト、継続的な脆弱性管理。証拠は最新のものであり、古いものではありません。
• 顧客監査用のベンダー文書が利用可能です。 ISO 27001 認証、BCT 結果、ISMS 文書、その他のベンダー証拠は、Aproove の顧客側監査をサポートするために提供できます。
• AI の来歴が組み込まれています。 AI 支援によるすべてのアクションはタグ付けされ、属性が付けられ、人間に紐付けられ、AI ガバナンス フレームワークをサポートします。
• 再構築は不要です。 監査証跡は作業が行われるにつれて構築されます。規制当局が要求したときには、証拠はすでに用意されています。‍
• 設計段階から FDA 検査への対応が可能。リアルタイム監査証跡、電子署名記録、バージョン履歴、オリジナル コンテンツの保存、およびエクスポート可能な文書のためのソフトウェア。

対象者

• FDA査察の準備や医薬品申請監査証跡のサポートを行う製薬業界のコンプライアンスおよび規制関連チーム。
• HIPAA規制対象コンテンツのレビューと監査の正当性を管理する医療業界のコンプライアンスチーム。
• 規制当局による審査のための決定事項を文書化する金融サービスのコンプライアンスチーム。
• 文書が精査に耐えうる必要があるあらゆる規制対象業界の法務および品質チーム。
• 自社の監査要件に照らしてベンダーのコンプライアンス状況を評価するITおよびセキュリティチーム。
• GDPRコンプライアンス義務の対象であり、文書化された管理体制を備えたデータ処理者を必要とするEU管轄区域の顧客

内部構造

グレード1の監査準備は、Aprooveの監査証跡エンジン、ISO 27001に準拠したISMS、および継続的なセキュリティ検証プログラムの組み合わせによってサポートされています。監査証跡は、タイムスタンプと属性情報とともに、すべてのワークフローイベント、決定イベント、ファイルイベント、コメントイベント、タグイベント、AIエージェントの呼び出し、チャットメッセージ、権限イベント、およびアクセスイベントをキャプチャし、変更不可能な形式で永続化します（編集または削除時にオリジナルが保持されます）。電子署名サポートは、オプションの2FAによる資格情報確認を使用し、署名意図のキャプチャを含むFDA 21 CFR Part 11の電子署名の要件を満たしています。ISO 27001:2013認証は、年次監視監査と、コントロール、ポリシー、および継続的改善を網羅した文書化されたISMSによって維持されています。SOC 2 Type IIの準備は進行中で、コントロールの証拠収集はAzure上のScrut Automationによって自動化されています。 HIPAA準拠構成には、保存時の暗号化、テナント分離、転送時のTLS 1.2+、およびPHIを扱う顧客向けのビジネスアソシエイト契約のサポートが含まれます。データ処理者としてのGDPR準拠は、内部統制と顧客向けデータ処理契約を通じて文書化されています。侵入テストは外部評価者によって毎年実施され、その結果はJiraで追跡され、是正措置が講じられます。事業継続性テストは、バックアップ復元と災害復旧の検証を含めて四半期ごとに実施され、RPOとRTOの目標は顧客契約に基づき24時間です。バックアップボールトは複数のAzureリージョンに展開されます。Aprooveホスト型デプロイメントは、これらの制御を備えたMicrosoft Azure上で実行されます。セルフホスト型およびオンプレミス型デプロイメントは、顧客がプロビジョニングおよび運用するインフラストラクチャ上で同じソフトウェアスタックを使用します。