EU GMP annex 11 Revision concept

EU GMP Annex11, Computerised systems 라는 오래된 자동화시스템 관련 규정이 있습니다. (1992년. 최초 Release)
해당 규정에서 과거 부터 명확히 짚고 있던 내용이 7.2 의 "The ability to restore the data should be checked during validation and monitored periodically." 입니다. 
 

 
주기적으로 복구력이 검증되어야 한다는 것인데, 과거와 달리 현재 시스템들에서는 DB 방식의 데이터 저장 시스템이나 Clould 시스템에 대한 백업 데이터의 복구력 검증은 생각보다 쉽지 않습니다.
 
과거에는 flat file(=개별 생성된 결과 file 형태)로 데이터가 생성되었습니다.
이와 비교해 DB 의 복구 절차는 단순 copy/paste 로 복구(복사해 와서) S/W 로 열어봤던 것과는 차원이 다릅니다.
(VM 을 통해 별도 복구 목적의 시스템을 유지하거나, 물리적으로 복구 검증 용 시스템을 만들어 두는 것입니다)
 
이쯤 되면, IT 업무 부서와 GMP 업무 부서의 벽이 없어지는 것인데요. 
너무 과하다는 생각이 듭니다.
 
그럼에도 불구하고,
DI 에서 백업 데이터의 유효성 확인은 반드시 필요하기 때문에 
어떻게 해서라도 방법을 만들어야 합니다. (돈을 더 쓰거나 or 사람을 더 쓰거나)
 
장기적으로는 데이터 센터를 통한 데이터 관리가 수월한 상황이 되지 않을까 합니다.
비용과 Vendor audit 이 문제긴 하지만요.
MS 의 경우에는 실제 Site audit 이 어렵다는 얘기를 들었습니다.(슈퍼 '을'이기 때문에..)
 

---

이런 현재 상황에 맞춰 관련 규정이나 가이드라인도 변화가 필요한데요. 
최근에 PIC/S 나 FDA 등 다른 가이드/규정과 수준을 맞추고
DI 관련 몇 가지 내용을 업데이트할 계획으로 concept paper 를 release 하였습니다.
 
▼관련 파일

concept-paper-revision-annex-11-guidelines-good-manufacturing-practice-medicinal-products_en.pdf

0.21MB

 
여러 얘기가 있는데,
눈에 띄는 내용은 audit trail 기능 적용 건이며,
관련해 구체적인 기준과 규정사항이 추가될 것으로 보입니다.
 
해당 문서 상 내용 들 중에 업데이트 사항입니다.
 
 
* Expected Update
 
 
1. [New] The document should be updated to replace relevant parts of the Q&A on Annex 11 and the Q&A on Data Integrity on the EMA GMP website. 
EMA GMP 웹사이트 내 Data Integrity QnA 내용(Guidance on good manufacturing practice and good distribution practice: Questions and answers | European Medicines Agency (europa.eu) 추가 예정임
 
2. [New] With regards to data integrity, Annex 11 will include requirements for ‘data in motion’ and ‘data at rest’ (backup, archive and disposal). Configuration hardening and integrated controls are expected to support and safeguard data integrity; technical solutions and automation are preferable instead of manual controls. 
사용 중 데이터, 보관 중 데이터에 대한 요구 사항 추가됨.
수동 조작 대신 기술적 장치 및 자동화가 선호 됨.
 
3. [New] An update of the document with regulatory expectations to ‘digital transformation’ and similar newer concepts will be considered.
'데이터 변환' (다른 형태/시스템으로의 변환/migration/이동 등을 포함) 에 대한 규정 사항 업데이트 예정.
 
4. [Principle] The scope should not only cover where a computerised system “replaces of a manual operation”, but rather, where it replaces ‘another system or a manual process’. 
컴퓨터화 시스템 내 수동 조작 뿐만 아니라 다른 시스템 또는 수동 과정을 대체하는 것도 포함될 예정.
 
5. [1] References should be made to ICH Q9. 
출처 자료 ICH Q9 (=QRM) 포함.
 
6. [3.1] The list of services should include to ‘operate’ a computerised system, e.g. ‘cloud’ services. 
컴퓨터화 시스템을 '운영/작동' 하는 서비스 리스트가 추가될 예정 (예: Cloud 서비스).
 
7. [3.1] For critical systems validated and/or operated by service providers (e.g. ‘cloud’ services), expectations should go beyond that “formal agreements must exist”. Regulated users should  have access to the complete documentation for validation and safe operation of a system and be able to present this during regulatory inspections, e.g. with the help of the service provider. See also Notice to sponsors and Q&A #9 on the EMA GCP website and Q&A on the EMA GVP 29 website) 
서비스 제공 업자(예: '클라우드' 서비스) 로 부터 검증, 운영되는 주요 시스템의 경우, 정식 계약서가 반드시 존재해야 한다. (특정)지정된 사용자는 밸리데이션 문서와 시스템 안전 관리를 위해 시스템 접근 권한을 가져야 하고, 실사 기간 중 보여줄 수 있어야 한다. (예: 서비스 제공자의 도움) .
 
8. [3.3] Despite being mentioned in the Glossary, the term “commercial off-the-shelf products” (COTS) is not adequately defined and may easily be understood too broadly. Critical COTS products, even those used by “a broad spectrum of users” should be qualified by the vendor or  by the regulated user, and the documentation for this should be available for inspection. The use of the term and the expectation for qualification, validation and safe operation of such (e.g. ‘cloud’) systems should be clarified. 
기성 제품(서비스 제공 사용 시스템) 에 대한 용어 명확화.
 
9. [4.1] The meaning of the term ‘validation’ (and ‘qualification’), needs to be clarified. It should be emphasised that both activities consist of a verification of required and specified functionality as described in user requirements specifications (URS) or similar. 
'밸리데이션' (적격성평가') 용어에 대한 명확화. URS(사용자 요구 규격) 에서 요구되거나 기술된 기능들의 검증과 연관된 활동을 강조함.
 
10. [4.1] Following a risk-based approach, system qualification and validation should especially  challenge critical parts of systems which are used to make GMP decisions, parts which ensure product quality and data integrity and parts, which have been specifically designed or customised. 
위해 기준 접근 방법에서 시스템 적격성평가와 밸리데이션은 GMP 결정에 사용되는 시스템의 주요 요소, 제품 품질, 데이터완전서을 보증하는 요소, 구체화되어 디자인되거나 맞춰진 요소에 특히 요구되어짐.
 
11. [4.4] It is not sufficiently clear what is implied by the sentence saying “User requirements should be traceable throughout the life-cycle”. A user requirements specification, or similar, describing all the implemented and required GMP critical functionality which has been automated, and which the regulated user is relying on, should be the very basis for any qualification or validation of  the system, whether performed by the regulated user or by the vendor. User requirements specifications should be kept updated and aligned with the implemented system throughout the system life-cycle and there should be a documented traceability between user requirements, any underlying functional specifications and test cases. 
URS 가 생애주기동안 추적/관리 되어야 함에 대한 상세 기술 추가됨.
 
12. [4.5] It should be acknowledged and addressed that software development today very often follows agile development processes, and criteria for accepting such products and corresponding documentation, which may not consist of traditional documents, should be clarified. 
애자일 개발 모델(적응형 모델) 에 따르는 소프트웨어 개발을 인식하고 전통적인 문서들로 구성되지 않는 문서화와 제품을 위한 허용 기준을 명시함.
 
13. [6] Guidelines should be included for classification of critical data and critical systems. 
중대 데이터와 중대 시스템 분류를 위한 가이드라인이 추가됨.
 
14. [7.1] Systems, networks and infrastructure should protect the integrity of GMP processes and data. Examples should be included of measures, both physical and electronic, required to protect data against both intentional and unintentional loss of data integrity. Concept paper on the revision of GMP Annex 11 – Computerised Systems EMA/INS/GMP/781435/2022 PS/INF 94/2022 Page 3/5 
시스템, 네트워크, 인프라스트럭쳐(기반 시스템)는 GMP process 의 완전성을 보호해야 함. 물리적, 전기측면, 의도/비의도적 데이터 완전성 손실에 대한 데이터 보호 척도가 포함됨.
 
15. [7.2] Testing of the ability to restore system data (and if not otherwise easily recreated, the system itself) from backup is critically important, but the required periodic check of this ability, even if no changes have been made to the backup or restore processes, is not regarded necessary. Long-term backup (or archival) to volatile media should be based on a validated procedure (e.g. through ‘accelerated testing’). In this case, testing should not focus on whether a backup is still readable, but rather, validating that it will be readable for a given period. 
백업된 시스템 데이터의 복구능력 테스트는 매우 중요함. 그러나 정기적인 백업/복구 능력 확인은 필요하나, 기 검증된 백업/복구 process 상 변화가 없다면 이는 불필요함. 
보관 매체로의 장기 백업(보관)은 밸리데이션된 절차에 근거해야함 (예: 가속 시험).
이는 백업본이 여전히 읽히는지 여부가 아닌 주어진 기간 동안 가독능력을 검증하는 것에 중점을 두어야 함. (예: 백업/복구 process 의 주기적인 재 검증+ 보관 누적 기간 안정성)
 
16. [7.2] Important expectations to backup processes are missing, e.g. to what is covered by a backup (e.g. data only or data and application), what types of backups are made (e.g. incremental or complete), how often backups are made (all types), how long backups are retained, which media is used for backups, and where backups are kept (e.g. physical separation). 
백업에 대한 구체적 명시가 추가됨. 예. 백업 범위(데이터/데이터+응용프로그램), 백업 주기, 백업본 유지기간, 백업본의 보관 조건(물리적 구분).
 
17. [8] The section should include an expectation to be able to obtain data in electronic format including the complete audit trail. The requirement to be able to print data may be reconsidered. 
전자데이터 형태(점검기록이 포함된)가 제안 되며, 출력 데이터에 대한 기준 사항이 제 고려됨.
 
18. [9] An audit trail functionality which automatically logs all manual interactions on GMP critical  systems, where users, data or settings can be manually changed, should be regarded as mandatory; not just ‘considered based on a risk assessment’. Controlling processes or capturing, holding or transferring electronic data in such systems without audit trail functionality is not acceptable; any grace period within this area has long expired. 
점검기록은 모든 수동방식의 상호작용(활동)는 자동적으로 기록되어야 함 (사용자, 데이터 및 설정의 수동 변경) 은 위해 평가 수준에 따르는 것이 아닌 '반드시' 적용되어야 함.
 
19. [9] The audit trail should positively identify the user who made a change, it should give a full  account of what was changed, i.e. both the new and all old values should be clearly visible, it should include the full time and date when the change was made, and for all other changes except where a value is entered in an empty field or where this is completely obvious, the user should be prompted for the reason or rationale for why the change was made. 
점검기록은 누가 변경을 했는지를 구분되어야 함. 해당 기록에는 무엇을 변경했는지를 전체 내용을 포함해야 함 (예: 빈 필드에 입력된 값이나 완전하게 분명한 값을 제외하고는 이전 값, 신규 값은 명확히 확인되어야 하고, 변경이 발생된 전체 날짜/시간이 포함되어야 함) 왜 변경이 일어났는지 이유나 근거를 작성하기 위한 메시지 창이 사용자에게 표시되어야 함.
 
20. [9] It should not be possible to edit audit trail data or to deactivate the audit trail functionality for normal or privileged users working on the system. If these functionalities are available, they should only be accessible for system administrators who should not be involved in GMP production or in day-to-day work on the system (see ‘segregation of duties’). 
점검기록(Audit trail)의 편집 또는 기능의 비활성화는 불가능해야 함. 가능한 경우라면, GMP 제조와 연관되어 있지 않거나 시스템 일상 업무를 위한 system administrator 에 한정되어야 함 (SOD 반영).
 
21. [9] The concept and purpose of audit trail review is inadequately described. The process should  focus on a review of the integrity of manual changes made on a system, e.g. a verification of the reason for changes and whether changes have been made on unusual dates, hours and by unusual users. 
점검 기록 검토는 수동 변경에 대한 완전성 검토에 집중되어야 함 (예: 변경 이유에 대한 확인, 변경은 일반적이지 않은 날짜/시간, 사용자에 의해 변경되었는지 여부)
 
22. [9] Guidelines for acceptable frequency of audit trail review should be provided. For audit trails on critical parameters, e.g. setting of alarms in a BMS systems giving alarms on differential pressure in connection with aseptic filling, audit trail reviews should be part of batch release, following a risk-based approach. 
점검 기록(audit trail) 의 적정 검토 주기에 대한 가이드라인이 제공될 것임.
 중대 파라미터의 점검 기록 (예: 무균 충전과 관련하여 차압에 대한 경보를 제공하는 BMS 시스템의 경보 설정은 위해 기반 접근에 따라 배치 출하의 일부로 점검 기록이 검토되어야 함)
 
23. [9] Audit trail functionalities should capture data entries with sufficient detail and in true time, in order to give a full and accurate picture of events. If e.g. a system notifies a regulated user of inconsistencies in a data input, by writing an error message, and the user subsequently changes the input, which makes the notification disappear; the full set of events should be captured. 
점검 기록 기능들은 충분히 자세하고 정확한 시간에 데이터 이력(기록)이 남아야 함. 
만약, 규제된 사용자의 데이터 입력 불일치를 알리기 위해 시스템은 오류 메시지를 노출하고, 사용자는 이후에 입력을 변경하여 알림이 사라질 때, 해당 이벤트의 전체 세트가 기록되어야 함.
 
24. [9] It should be addressed that many systems generate a vast amount of alarms and event data and that these are often mixed up with audit trail entries. While alarms and events may require their own logs, acknowledgements and reviews, this should not be confused with an audit trail review of manual system interactions. Hence, as a minimum, it should be possible to be able to sort these. 
많은 시스템이 방대한 양의 경보 및 이벤트 데이터를 생성하고 이러한 데이터가 종종 감사 추적 항목과 혼합된다는 점을 해결해야 함.
알람 및 이벤트에는 자체 로그, 확인 및 검토가 필요할 수 있지만 이를 수동 시스템 상호 작용의 점검 기록 검토와 혼동하면 안 됨. 최소한 그것들을 가능한 수준에서 정렬 가능해야 함.
 
25. [11] The concept of configuration review should be added. Instead of taking onset in the number of known changes on a system (upgrade history), it should be based on a comparison of hardware and software baselines over time. This should include an account for any differences and an evaluation of the need for re-qualification/validation. 
주요구성(Configuration) 검토가 추가될 것임. 업그레이드 이력 등 알려진 변경의 수를 다루는 대신, 시간 경과에 따른 하드웨어/소프트웨어의 비교를 근간으로 해야 함.
 
26. [12.1] The current section has only focus on restricting system access to authorised individuals; however, there are other important topics. In line with ISO 27001, a section on IT security should include a focus on system and data confidentiality, integrity and availability. 
현재는 인가된 인원으로 시스템 접근을 제한하는 것에만 주목했으나, ISO27001내 IT보안 항목으로 시스템, 데이터 신뢰, 안전성, 가용성을 주요하게 포함해야 함.
 
27. [12.1] The current version says that “Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons”. However, it is necessary to be more specific and to name some of the expected controls, e.g. multi-factor authentication, firewalls, platform management, security patching, virus scanning and intrusion detection/prevention. Concept paper on the revision of GMP Annex 11 – Computerised Systems EMA/INS/GMP/781435/2022 PS/INF 94/2022 Page 4/5 
예정된 관리의 구체성과 명칭 등을 포함해야 함. (예: 다중 요소 인증, 방화벽, 플랫폼 관리, 보안 패칭, 바이러스 스캔, 침입 감지 및 예방)
 
28. [12.1] It should be specified that authentication on critical systems should identify the regulated user with a high degree of certainty. Therefore, authentication only by means of a ‘pass card’  might not be sufficient, as it could have been dropped and later found by anyone. 
중대 시스템의 인증은 매우 높은 수준/강도로 지정된 사용자를 구분해야 함. 따라서, 분실 및 다른 사람을 통해 취득될 수 있기 때문에 '패스카드' 는 불충분함.
 
29. [12.1] Two important expectations for allocation of system accesses should be added either here or elsewhere; i.e. ‘segregation of duties’, that day-to-day users of a system do not have admin rights, and the ‘least privilege principle’, that users of a system do not have higher access rights than what is necessary for their job function. 
시스템 접근 권한의 부여의 두 가지 기대치를 추가해야 함. 'SOD(Segregation of Duties)', '최소 권한 부여 원칙'. 그들의 직무 역할을 위해 필요한 권한 이상의 접근 권한은 가질 수 없음.
 
30. [12.3] The current version says that “Creation, change, and cancellation of access authorisations should be recorded”. However, it is necessary to go further than just recording who has access to a system. Systems accesses and roles should be continually managed as people assume and leave positions. System accesses and roles should be subject to recurrent reviews in order to ensure that forgotten and undesired accesses are removed. 
접근 권한의 부여, 변경, 취소를 '누가' 권한을 갖는지 기록하는 것 외에 시스템 접근/역할은 신규 인원 및 업무를 떠나는 사람들까지 지속적으로 관리해야 함.
 
31. [17] As previously mentioned (see 7.2), it is not sufficient to re-actively check archived data for accessibility, readability and integrity (it would be too late to find out if these parameters were not maintained). Instead, archival should rely on a validated process. Depending on the storage media used, it might be necessary to validate that the media can be read after a certain period. 
보관된 데이터의 접근, 열람, 완전성을 위해 데이터를 재 활성화하여 체크하는 것은 부족함(잘 유지되고 있는지를 찾는데 너무 오래 걸릴 수 있음). 저장 미디어인 경우 미디어가 일정 기간 이후 열람 가능 한지를 검증하는 것이 필요함(개별 데이터의 검증이 아닌 백업/보관 Process 자체의 Validated 상태를 주기적으로 확인해야 함) 
 
32. [New] There is an urgent need for regulatory guidance and expectations to the use of artificial intelligence (AI) and machine learning (ML) models in critical GMP applications as industry is already implementing this technology. The primary focus should be on the relevance, adequacy and integrity of the data used to test these models with, and on the results (metrics) from such testing, rather that on the process of selecting, training and optimising the models. 
산업 내 주요 GMP 응용 목적으로 사용되는 AI, ML 에 대한 가이드라인 및 제안이 긴급히 요구됨. 주요 쟁점은 AI, ML 모델의 선택, 교육/최적화 과정이 아닌 AI, ML 모델을 위한 데이터의 관련성, 적합성, 완전성과 테스트 결과에 있음
 
33. [New] After this concept paper has been drafted and prepared for approval of the EMA GMP/GDP Inspectors Working Group and the PIC/S Sub-committee on GMDP Harmonisation, the FDA has released a draft guidance on Computer Software Assurance for Production and Quality System Software (CSA). This guidance and any implication will be considered with regards to aspects of potential regulatory relevance for GMP Annex 11.
FDA 의 제조 품질 시스템 소프트웨어의 컴퓨터 소프트웨어 보증(CSA) 가이드라인 초안과 연관된 내용이 Annex11 에 고려될 수 있음.
 
실제 Effective Final 은 2026 년 목표 예정 임.