제약회사에서의 DI 위반 사례는 과연 어떤 내용일까? 제약회사에서의 데이터 완전성(Data Integrity)은 제품의 안전성과 효능을 보장하는 데 필수적인 요소이다. 때문에 DI 위반은 규제 기관의 제재뿐만 아니라 소비자의 신뢰를 잃게 하는 매우 심각한 사례이다. 이번 포스팅에서는 FDA Warning Letters에서 발행된 내용을 토대로, 제약회사에서 발생된 DI 위반 사례와 그 해결 방안에 관하여 분석해보고자 한다.
DI 위반 사례 1
위의 사진은 ‘FDA의 21 CFR 211.22’과 관련한 DI 위반 사례의 일부 내용을 발췌 한 것이다. 위반 내용(사진)을 살펴보면, 총 3가지의 DI 위반 사례가 적발 된 케이스이다. 첫째, 직원들이 적절한 품질관리 절차 없이 문서를 자유롭게 인쇄하고 폐기하였다. 둘째, 인쇄물 파쇄 용기에서 원본 데이터가 발견되었다. 셋째, 컴퓨터 시스템을 통한 분석 수행 시, 분석을 완료한 후에 데이터를 저장하였다. 이와 같은 3가지 위반 사례에 대한 필요 조치는 다음과 같이 분석되어진다.
첫 번째와 두 번째 위반 내용은 ‘문서관리 시스템’의 부족에서 비롯된 사례이다. 이를 해결하기 위해서는 먼저, 문서관리 시스템에 대한 보완이 필요하다. 예를 들어, 문서 인쇄(발행) 및 폐기에 대한 절차를 보다 구체화 하고 이에 대한 문서 담당자를 지정하며, 발행된 문서에 대한 검토 단계를 마련하여 문서의 무분별한 인쇄 및 폐기를 막을 수 있도록 한다. 그 다음으로는, 그동안 쌓여있던 직원들의 인식의 개선이 강하게 필요할 것이다. 습관이라는 것이 무섭기 때문에 직원이 변화된 시스템에 적응하기 위한 기간이 필요하다. 보다 빠르게 적응할 수 있도록 직원들의 노력과 주기적인 교육이 필요하다.
세 번째 위반 내용은 ‘컴퓨터 시스템’ 의 부족에서 비롯된 사례이다. 이를 해결하기 위해서는 먼저, 분석을 수행하기 위해 컴퓨터 시스템에서 파일을 엶과 동시에 저장부터 이루어지도록 설정 값을 변경해야 한다. 분석은 파일을 저장한 이후에 이루어지도록 함으로써 분석 작업에 대한 모든 내용이 기록되도록 한다. 그 다음으로는, 분석 과정 및 결과에 대한 Audit trail 검토 절차가 필요하다. 작업자가 실제로 파일을 저장한 이후에 작업을 수행하였는지, 또는 작업 중 DI를 위반한 내용 (승인되지 않은 데이터 수정/삭제/재분석 등) 이 포함되지는 않았는지 등에 대하여 검토자가 꼼꼼히 살펴보고 문제가 없을 시에 해당 데이터가 최종 승인될 수 있어야 한다.
DI 위반 사례 2
위의 사진은 ‘FDA의 21 CFR 211.68(b)’과 관련한 DI 위반 사례의 일부 내용을 발췌 한 것이다. 위반 내용(사진)을 살펴보면, 총 2가지의 DI 위반 사례가 적발된 케이스이다. 첫째, 분석 데이터가 절차 없이 삭제되었으며, 삭제 권한에 대한 부여 절차가 부재하였다. 둘째, 컴퓨터 시스템 사용자 ID와 비밀번호가 공유되었다. 이와 같은 2가지 위반 사례에 대한 필요 조치는 다음과 같이 분석되어진다.
첫 번째 위반 내용은 ‘컴퓨터 시스템’ 및 ‘DI 교육’ 의 부족에서 비롯된 사례이다. 이를 해결하기 위해서는 먼저, 한 번 생성된 데이터는 적절한 승인 절차 없이는 삭제될 수 없도록 설정 값을 변경해야 하며, 충분한 정당성을 통해 승인된 절차 없이는 데이터 삭제가 이루어질 수 없어야 한다. 만약 삭제가 필요하다면 그것은 시스템 관리자에 의해 수행되어야 한다. 그 다음으로는, ‘데이터의 원본성(데이터는 원본이어야 하며, 원본 데이터는 1개이다)’의 내용을 포함한 DI 교육이 필요하다. 만약 데이터의 수정이 필요하더라도 데이터를 복사(Copy)하는 것이 아닌, 기존 데이터 내에서 작업이 이루어져야 하며, 수정된 작업 내용 또한 Audit trail 에 모두 기록되어야 한다. 그리고 이러한 모든 작업 내용은 반드시 관리자의 검토가 이루어져야 한다.
두 번째 위반 내용 또한 ‘컴퓨터 시스템’ 및 ‘DI 교육’ 의 부족에서 비롯된 사례이다. 이를 해결하기 위해서는 먼저, 사용자마다 별도의 ID를 지급해야 한다. 이 말은 즉, 충분한 인증을 통해 그 능력이 인정된 작업자만이 해당 시스템에서 분석을 수행할 수 있다는 말임과 동시에 분석 결과에 대한 책임을 지어야 한다는 것으로 그 의미가 이어진다. 그 다음으로는, 절대 사용자 ID 와 비밀번호는 공유될 수 없도록 적절히 절차화 하고 이에 대한 교육이 필요하다. 이러한 공유는 어떤 작업자가 언제 무엇을 어떻게 수행 하였는지에 대한 추적이 불가능하게 만든다. 즉, DI 기본 조건 중 ‘기인성(Attributable)’을 충족할 수 없게 된다.
본 포스팅에 작성된 사례들은 비단 특정 제약회사에서만 지적된 내용이 아닌, 수많은 제약회사들에 공통적으로 제안된 내용들이다. 즉, 상기 내용들은 규제기관이 DI 측면에서 매우 중요하게 검토하고 있는 부분이라는 것이다. DI는 단순히 규제 요구 사항을 따른다는 것을 넘어서 제품의 안전성과 효능을 보장한다는 의미이다. 그렇기에 규제 기관에서 검토하는 필수적인 사항이며, 더욱 더 면밀히 검토할 수밖에 없고 가볍게 넘길 수 없는 것이다. DI가 이슈화된지 수년이 흘렀지만 아직 그 내용을 시스템에 도입한 회사가 많지 않은 것이 현실이다. 모든 제약회사가 DI 요구 사항을 철저히 준수하는 그 날까지 지속적인 교육과 품질관리 시스템 개선 작업이 필요 해 보인다. 혹, 다른 사례가 궁금하다면 FDA Warning Letters 사이트에 방문하여 살펴보는 것도 업무에 많은 도움이 될 것이다.
답글 남기기
댓글을 달기 위해서는 로그인해야합니다.