자체적으로 사내 DI 평가를 하거나 Inspection 을 받을 때,
생각보다 처리가 까다로운 것 중에 하나가
분석 저울(Analytical balance), pH meter, meter 등의 장비 (MHRA 가이던스에는 basic equipment 로 명시) 의 관리입니다.
특히, 아래 사항들에 대한 control 이 어렵다는 것인데요.
- 시간여행 (=날짜/시간 변경)
- 데이터 삭제
- 임의 데이터 생성 (권한이 없는 작업자의 데이터 생성 등의 문제)
- 기존 paper 폐기 후, 원하는 값으로 확인 후 재 출력
- 데이터 생성자에 대한 정보 취약 (Account 기능 없음)
이중에는 관리자(Administrator)만 접근하도록 관리되어야 하는 기능임에도
모든 사용자에게 기능이 open 되어 있거나, Admin Password 를 모두 알고 있는 것이 문제가 됩니다.
예전에 감사로 갔던 회사의 QC 부서에서는
balance admin 비번을 QC 팀장님이 알고 계시다고 얘기하시길래
QC 팀장님께 admin 로그인 좀 부탁 드렸더니,
PW 를 어디다 두셨는지 기억을 못하셔서 한참 찾아보고 수첩을 가지고 오시더라고요.
(당연히 동일 부서 소속 인원이 PW 를 관리하는 건 inspection 에서 문제가 됩니다)
위와 같이 Basic equipment 들은 DI 측면에서 아주 취약한 환경에 놓여있는데요.
가장 큰 이유는 대부분 회사에서 너무 옛날 Model 을 사용하고 있기 때문입니다.
DI 요구기준에 반영되기 전 구형 모델들은 User 기능이나 Security 기능이 취약합니다.
그나마 일부는 PW로만 control 되는 것도 있고, 어떤 balance 는 무적의 Key 조합(?)을 누르면 누구나 Admin mode 로 접근되는 모델도 봤습니다.
최근 주요 제조사의 balance 나 pH meter 는 자체적으로 DI 기능이 강화되어 기능들이 반영된 model 이 있습니다.
(Admin 기능, User management 기능, Data 백업 기능 등)
시간이 지나면 하나씩 구형 장비가 고장나고 교체 시기가 되면 해결되겠지만, (보통 10년은 쓰거나, 고장나야 바꿔주죠)
당장은 DI 때문에 고가의 Analytical Balance 를 새로 구매한다고 하면 과연 사주실까요?
(매우 높은 확률로 Reject 될 겁니다. 특히, 생산/제조 부서는 자주 쓰지도 않아서..)
실무자가 접근할 수 있는 방법은 3가지 정도입니다.
1. 개별 balance 신규 구매 (돈 많이 듬 --> 실패)
2. LIMS/RDMS와 같은 실험실 데이터 통합 관리 시스템 도입 (예: MT 사의 LabX, 돈 더 많이듬 --> 실패)
3. 물리적인 제한 장치 고안 (당장 돈이 많이 안들어가므로 시도해볼만 함)
현실적으로 교체 비용 및 현재 사용 중인 기기를 그대로 쓰려면
Admin 기능을 하는 키나 접근을 할 때 눌러야하는 키를 누르지 못하도록
물리적인 제한을 하는 방법을 쓸 수 있습니다.
찍어둔 사진이 없어서 아래 사진을 예시로 하면,
아래는 에어컨 control 을 제한하려고 만든 아크릴 박스인데,
저울 같은 경우에는 시료 측정 공간과 측정 후 출력 버튼 부분만 open 되도록 만들고,
나머지 입력부는 손을 댈 수 없도록 할 수 있습니다.
시간 오차 조정이나 admin 기능이 필요할 때에는 열쇠로 open 하고 작업을 하게되고,
이 때, 해당 열쇠는 Admin 역할을 하는 담당자가 맡아 관리하면 됩니다.
주요 설비나 장비의 조작부 control 제한이 S/W 로 안 되는 시스템에도 동일한 방법을 적용해
DI 및 Security 측면에서 위험을 줄일 수 있습니다.
(과거에 실제로 유틸리티 설비의 조작부가 open 되어 있고, 설정 값을 누구나 변경할 수 있는 것에 대해 코멘트를 받은 적이 있습니다)
예산이 충분하다면 기기 교체하는 게 제일 간단하지만,
비용 차이가 많이 나다보니 이렇게라도 만들어 놓고 실사를 받아야 하나 싶지만,
실제로 위 방법의 장점은 '보여주기' 에 특화되어 있어 inspector 에게 좋은 이미지를 쌓을 수도 있다고 봅니다. ^^;
(반면, 돈 없는 회사로 보일 수도 있음)
'데이터 완전성 (Data Integrity)' 카테고리의 다른 글
| GMP 문서의 추적 관리 (2) | 2023.05.25 |
|---|---|
| DI 교육은 어떻게 하나요? (0) | 2023.05.15 |
| DI 업무 전담 조직의 일? (4) | 2023.04.20 |
| Audit trail (점검 기록) 확인 항목 결정 (0) | 2023.04.17 |
| GMP 데이터 흐름을 이해해야 하는 이유 (0) | 2023.04.12 |
댓글