데이터 완전성 이슈에 접근하기

데이터 완전성(Data Integrity) 이슈는 새롭게 발견된 문제가 아닙니다. 예전부터 있었던 문제이지만, 최근에서야 주목을 받게 된 것입니다. 특히, 의약품 허가를 검토/승인하는 허가 규제 기관 (예: FDA, EMA)에서 기 승인된 제품이나 신규 허가를 위한 문서/시설 환경에 대해서 무분별한 조작(위변조/삭제 등)이 발견되면서 DI에 대한 기준/점검이 강화된 것입니다.

 

목차

 

허가관점에서의 데이터 완전성 접근

1. 데이터 완전성 평가가 요구되는 범주
2. 데이터 완전성 요구사항

 

---

허가 관점에서의 데이터 완전성 접근

의약품 허가 진행에 있어, 관련 허가 문서와 근거 데이터에 대한 검토가 필요합니다. 또한, 제조시설이 적절한 GMP 규정에 따라 관리/운영되고 있는지를 직접 감사자의 실사를 통해 점검하고, 종합적인 허가 평가 결과가 회사로 전달됩니다. 

 

승인 의약품이라고 할지라도 정기적으로 실사를 받게 되며, 이때 데이터 완전성 측면의 위반사항이나 중대한 위험요소가 발견된 경우에는 아래의 상황이 발생됩니다.

 

- Warning letter (FDA 경고 공문)

- Product Recall (제품 리콜)

- Import alert (수입 금지)

- Legal actions (법적 조치)

- Patient harm (환자 피해)

 

위의 경우에는 개별 action 자체의 문제와 함께, 이를 통한 회사가 받는 타격이 상당하기 때문에 데이터 완전성과 연관된 규정/절차의 준수가 중요한 요소로 떠오르고 있습니다.

---

1. 데이터 완전성 평가가 요구되는 범주

기본적으로 데이터 완전성 평가 기준이 되는 ALCOA+ 에 따라, 모든 GMP 데이터가 기록들이 적절히 생성, 가공(정리), 검토, 승인, 보관, 폐기되는 과정에서 위험요소가 잘 관리되어야 합니다. 필드에서 잘 지켜지지 않는 구체적인 범주는 아래와 같습니다.

 

- User(Account) access 관리 취약

- 인가되지 않은 (승인되지 않은) 변경을 허용하게 하는 취약한 Security 설정

- Audit trail (감사 추적) 의 부재 또는 비활성화

- 발생 당시에 실시간으로 기록되지 않는 행위

- 데이터 불일치 (or 이상결과) 에 대해 조사가 수행되지 않는 것

- 원하는 결과가 나오도록 분석하는 것

- 데이터의 수집과 유지, 검토가 불완전한 것

- 원본(Original data) 데이터를 덥어 쓰거나 삭제하는 것

- 데이터를 조작(falsification) 하는 것

 

 

---

 

2. 데이터 완전성 요구사항

데이터 완전성 요구사항 (Data Inegrity Requirement)는 데이터와 기록의 신뢰를 위해 기준으로 제시되는 사안입니다. 일반적인 회사에서는 기존 발행되었거나 초안 공표된 허가 규제 기관의 가이드라인 또는 규정 문서들을 기준 문서로 하여 (대부분의 정의와 규정 사항은 겹치는 내용이 많습니다), 회사 정책 기준으로써 하나의 데이터 완전성 요구사항(정책)을 수립(제정) 하도록 제안드립니다.

 

관련 규정과 가이드라인(가이던스)는 아래와 같습니다.

 

- GCP, GLP, GMP 와 Medical device에 연관한 US CFRs(Code of Federal Regulations)

- US 21 CFR Part 11 (ER/ES, 전자기록/전자서명)

- EU GMP (Chapter 4 와 Annex 11(부록 11))

- MHRA GMP Data Integrity Definitions and Guidance for Industry

- MHRA GxP Data Integrity Definitions and Guidance for Industry

- FDA draft Guidance for Industry: Data Integrity and Compliance with CGMP

- ICH Q9 Quality Risk management

- ICH Q10 Pharmaceutical Quality System

- WHO Annex 5: Guidance on Good Data and Record Management Practices.

- PIC/S draft Guideline: Good Practices for Data Management and Integirty in Regulated GMP/GDP Environments (Draft 3)

 

1) 회사는 데이터 완전성 위험(Risk)을 관리할 수 있는 전략 (평가 기준/평가 절차 등)을 갖추어야 합니다. 데이터 완전성 기준에 근거하여 위험을 정의(분별) 하고, 관리 (보완/경감) 할 수 있어야 합니다(Risk Assessment). 특히, 데이터 완전성 위험에 따른 문제(이슈) 발생 사항은 원인을 조사하고, 평가할 수 있어야 합니다. (Deviation/CAPA)

 

2) 회사는 데이터가 생성되고 관리되는 시스템들에 대한 목록 (Inventory)을 유지해야 합니다. 이는 공식적인 GMP data (전자파일 또는 관리 문서) 로서 존재해야 합니다.

 

3) 데이터 정책(Data Goverance) 이 수립되어야 합니다. 이는 조직의 데이터 완전성 문화에 영향을 받습니다. 

데이터 정책은 아래 세 가지 관점에서 수립되어야 합니다. 

 

- 행동 관점 (Behavioral steps)

- 절차 관점 (Procedureal Steps)

- 기술 관점 (Technical Steps)

 

 

 

 

* 본 포스팅은 ISPE의 "Records and Data Integrity GUIDE"에 근거한 기술 사항입니다.