데이터 완전성 (DI) 개념 및 보장 방법 알아보기

데이터 완전성(Data Integrity)은 줄여서 DI라고도 표현하는데, 그 의미는 의약품 개발부터 제조, 품질관리, 출하까지 전 과정에서 생성 및 사용, 보관, 폐기되는 모든 데이터에 대하여 정확성, 일관성 등을 보장하는 것을 말한다. 현재 규제 기관에서 가장 중점적으로 검토하는 부분이 바로 ‘의약품을 생산하는 모든 과정에서 DI가 보장되었는가?’이다. 즉, GMP 규정을 준수하는 것에 DI가 필수 사항이 된 것이다. 그렇다면, DI의 자세한 개념과 보장 방법에 대하여 알아보자.

1. DI 중요성 및 구성 요소

의약품의 생산부터 출하까지의 전 과정에서 DI(Data Integrity)가 중요한 이유 3가지 측면에서 확인할 수 있다.
첫째, 규제 기관의 요구 사항을 충족하기 위함이다. FDA, EMA 와 같은 규제 기관은 DI를 매우 중요하게 여긴다. 즉, DI는 GMP(Good Manufacturing Practice), GLP(Good Laboratory Practice), GCP(Good Clinical Practice) 등의 규제 요구 사항을 준수하기 위한 기본 중에 기본 사항인 것이다. 둘째, 환자의 안전을 보장하기 위함이다. DI가 보장되지 않으면 잘못된 정보가 생성되고, 이는 결국 부작용, 오남용 등의 결과를 초래하여 환자의 안전을 위협할 수 있게 된다. 셋째, 우수한 품질을 유지하기 위함이다. 정확하고 일관된 데이터는 곧 오류가 없는 데이터를 의미하며, 최종적으로 적합한 품질의 제품을 생산하였음을 보장하게 된다.
이와 같이 그 중요성이 강조되고 있는 DI를 보장하기 위해서는 정확한 개념을 이해해야 한다. DI의 개념은 일반적으로 ‘ALCOA’라고 표현되는데, 이는 DI를 구성하는 5가지 핵심 요소들의 첫 번째 알파벳이 모여서 만들어진 단어이다. 각 구성 요소를 살펴보면, ALCOA의 첫 번째 ‘A’는 Attributable(기인성)을 나타낸다. 데이터는 누가, 언제, 어떠한 사유로 생성했는지 추적 가능해야 한다는 것이다. 즉, 모든 데이터는 인증된 사람이 생성해야 하며, 생성 날짜를 반드시 포함해야 함을 의미한다. 두 번째 ‘L’은 Legible(가독성)을 나타낸다. 데이터는 누구든, 언제든 명확하게 읽을 수 있어야 한다는 것이다. 이는 수기로 작성된 기록도 포함되며, 시간이 지나도 판독 가능하도록 기록되어야 함을 의미한다. 세 번째 ‘C’는 Contemporaneous(동시성)을 나타낸다. 데이터는 발생한 시점에 실시간으로 기록되어야 한다는 것이다. 즉, 사후 기록은 신뢰성이 떨어짐을 의미한다. 네 번째, ‘O’는 Original(원본성)을 나타낸다. 데이터는 반드시 원본 또는 진본이어야 한다는 것이다. 즉, 복사본, 변형된 데이터는 신뢰성이 떨어짐을 의미한다. 마지막 ‘A’는 Accurate(정확성)을 나타낸다. 데이터는 정확하고 오류가 없어야 한다는 것으로, 실제 값을 반영해야 함을 의미한다.
이상으로 DI의 구성하는 5가지 핵심 요소를 확인해보았다. 사실 최근 들어 DI의 중요성이 강조되면서 구성 요소 4가지가 추가되었는데, 이는 ‘Plus(+) 요소’라고 표현된다. 해당 4가지 요소를 간략하게 살펴보면, 모든 데이터가 빠짐없이 기록되고 유지되어야 함을 뜻하는 ‘Complete(완전성)’, 데이터는 일관된 형식과 내용으로 유지되어야 함을 뜻하는 ‘Consistent(일관성)’, 데이터는 보관 기간 동안 변경되지 않아야 함을 뜻하는 ‘Enduring(지속성)’, 데이터는 필요 시 언제든지 접근 및 사용 가능해야 함을 뜻하는 ‘Available(가용성)’이다.

2. DI 보장 방법

DI(Data Integrity)와 관련한 대표적인 가이드라인이 2가지 존재하는데, 바로 FDA에서 발행한 ’21 CFR Part 11’과 EMA에서 발행한 ‘EU Annex 11’이다. 두 가이드라인은 모두 DI를 보장하기 위한 요구 사항을 규정하고 있는데, 특히 전자 기록 및 전자 서명에 대한 규정에 대하여 중점적으로 다루며 전자데이터의 신뢰성을 보장하는 방법을 기술하고 있다. 그렇다면, FDA와 EMA 두 규제 기관에서 말하는 DI를 보장하는 방법은 무엇일까? 대표적인 6가지 방법은 다음과 같다.
첫째, DI 구성 요소인 ‘ALCOA+’를 준수하는 것이다. 앞서 확인한 DI 구성 요소를 준수하여 데이터를 생성, 사용, 보관, 유지해야 DI가 보장될 수 있음을 의미한다. 둘째, 전자 기록 및 전자 서명 시스템을 도입하여 접근 권한 및 전자 데이터를 철저히 관리하는 것이다. 셋째, 데이터 관리 절차를 마련하는 것이다. 데이터 생성, 수정, 저장, 삭제에 대한 명확한 정책과 절차를 수립하고, 정기적인 데이터 검토와 감사(Audit)를 통해 DI를 지속적으로 모니터링하는 것을 의미한다. 넷째, DI 의 중요성을 이해하고, 관련 절차를 준수할 수 있도록 직원을 주기적으로 교육하는 것이다. 다섯째, 데이터의 무단 접근을 방지하기 위해 보안 시스템을 도입하는 것이다. 예를 들면, 암호화, 물리적 접근 제어, 백업 및 복구 절차 도입이 있다. 여섯째, 데이터 검토를 수행하는 것이다. 데이터가 생성될 때마다 정확성과 일관성을 즉시 검토하고, 정기적인 데이터 검토를 통해 불일치나 오류를 발견하고 수정해야 한다.
이와 반대로, DI를 위반하는 것은 어떤 행위일까? 대표적인 3가지 사례를 통해 알아보자. 첫째, 데이터를 인위적으로 조작하거나 수정, 삭제하는 것이다. 둘째, 데이터의 분실 또한 DI 위반에 포함된다. 데이터 백업 및 복구 절차가 제대로 수행되지 않은 상태로 중요한 데이터가 분실 된다면, 제품의 품질과 안전을 보장할 수 없어진다. 셋째, 불충분한 문서화이다. 데이터 생성 및 수정 과정이 자세히 기록되지 않으면 추후 검증이 어려워지게 되고, 결국 DI를 보장할 수 없게 된다.