21 CFR Part 11 이란, 미국 식품의약국 (FDA) 에서 규정한 GMP에서의 전자기록과 전자서명에 관한 기준이다. 해당 지침은 전자기록과 전자서명이 종이문서와 수기서명만큼 신뢰할 수 있도록 보장하는 데 목적을 둔다. 즉, DI를 준수하는 전자시스템을 갖추기 위한 방법을 다루고 있다. 그렇다면, 제약 및 의료기기 산업에서 고려해야 할 전자시스템의 조건은 무엇인지 21 CFR Part 11 의 지침에 대하여 상세히 알아보자.
1. 전자시스템 (전자기록 및 전자서명) 조건
FDA의 21 CFR Part 11에서 이야기하는 전자시스템(전자기록 및 전자서명)이 갖추어야 할 조건에 대해 알아보자.
먼저, 전자 기록이 갖추어야 할 필수 특성은 4가지가 존재한다. 첫째, 유효성으로, 전자 기록은 원본 기록과 동일한 법적 효력을 가져야 한다. 둘째, 안전성으로, 기록은 무단 접근이나 변경으로부터 보호되어야 한다. 셋째, 추적 가능성으로, 모든 전자기록의 변경 사항은 추적 가능해야 하며, 변경 전후의 데이터가 각각 저장되어야 한다. 이는 덮어쓰기 형식의 저장을 허용하지 않는다는 의미와 동일하다. 넷째, 보관 가능성으로, 전자 기록은 규정된 기간 동안 안전하게 보관될 수 있어야 한다. 다음으로, 전자서명이 갖추어야 할 필수 특성은 5가지는 다음과 같다. 첫째, 고유성으로, 각 사용자에게 고유한 서명자 ID 를 할당하여 서명자의 신원을 명확히 식별할 수 있어야 한다. 둘째, 책임성으로, 서명자가 문서의 내용에 대해 책임을 진다는 것을 명확히 해야 한다. 셋째, 검증 가능성으로, 서명의 진위 여부를 검증할 수 있는 방법이 존재해야 한다. 넷째, 추적 가능성으로, 서명자는 언제, 어디서, 어떤 목적으로 서명했는지 명확히 기록해야 한다. 다섯째, 이중 요소 인증성으로, 서명자는 비밀번호로 보호된 서명자 ID를 사용해야 하며, 비밀번호는 주기적으로 변경되어야 한다. 추가적으로, 전자기록과 전자서명 시스템이 공통적으로 갖추어야 할 5가지 조건이 존재한다. 첫째, 시스템 유효성 검증(System Validation)이 수행되어야 한다. 전자시스템은 신뢰할 수 있고, 규제 요구사항을 충족한다는 것을 검증해야 한다. 둘째, 보안 기능이 존재해야 한다. 즉, 접근 제어, 권한 관리 등의 보안 기능을 통해 기록의 무결성을 보장할 수 있어야 한다. 셋째, 감사 추적(Audit Trail) 기능이 존재해야 한다. 즉, 모든 기록에 대한 생성 및 변경 내역을 자동으로 기록하고, 추적할 수 있어야 한다. 넷째, 두 시스템은 모두 사용 및 관리 방법에 대하여 문서화되어야 한다. 다섯째, 관련한 모든 직원은 전자기록 및 전자서명의 중요성, 사용 방법, 보안 절차에 대해 교육받아야 한다.
2. 21 CFR Part 11 구현 방법
전자시스템에 관한 FDA 지침인 ’21 CFR Part 11’의 구현 방법에 대해 살펴보면, 크게 5가지 방법이 존재한다.
첫째, 전자시스템을 설치하고 검증하는 것이다. 여기서 설치란, 규정에 명시된 요구 조건을 충족하는 전자시스템을 설치하는 것이고, 검증이란 설치부터 실 사용 단계까지 시스템의 모든 기능이 요구조건을 충족하는지 확인하는 과정을 의미한다. 특히, 시스템 유효성 검증은 소프트웨어뿐만 아니라 하드웨어를 포함한 전체 시스템에 대해 수행되어야 하며, 모든 과정은 상세히 기록되어야 한다. 둘째, 암호화, 백업, 접근 제어를 통해 데이터를 보완하는 것이다. 데이터를 저장하거나 변경할 때 암호화를 사용하여 무단 접근을 방지하고, 정기적으로 데이터를 백업하여 데이터 손실에 대비하며, 시스템의 각 기능 별로 사용자 접근 권한을 부여하여 역할에 맞는 업무만 수행 가능하도록 한다. 셋째, 정기적인 정기적인 내부 감사 및 외부 감사를 수행하는 것이다. 정기 감사를 통해 시스템 사용 내역과 보안 절차를 정기적으로 감사하여 규정 준수 여부를 확인하고, 발견된 문제점을 즉시 개선하도록 한다. 넷째, 지속적인 교육 및 훈련을 수행하는 것이다. 조직 내 모든 관련자는 21 CFR Part 11의 요구 사항과 이를 준수하기 위한 절차를 숙지해야 하며, 정기적인 교육을 통해 최신 규정 변화와 기술 동향을 파악해야 한다. 즉, 정기적인 내부 및 외부 교육을 통해 전자 기록 및 전자 서명의 올바른 사용을 촉진해야 한다. 마지막으로, 전자 시스템 관리에 대한 문서화이다. 모든 절차, 검증, 감사, 교육 활동은 철저히 문서화되야 하며, 필요 시 규제 당국에 제출할 수 있도록 준비되어야 한다. 문서화는 규정 준수의 증거를 제공하며, 조직 내 모든 활동이 규정에 맞게 이루어졌음을 입증하는 중요한 자료가 된다. 이를 통해 조직은 21 CFR Part 11의 요구 사항을 체계적으로 관리하고, 규제 당국의 감사에 대비할 수 있게 된다.
위와 같이 FDA 는 규제 산업에서 사용하는 전자시스템이 종이 기반 시스템과 동일한 수준의 신뢰성과 보안을 제공하도록 요구하고 있다. 즉, 기록은 더 이상 종이문서에만 국한되는 것이 아니며, 전자문서까지 철저한 관리 대상임을 의미한다. DI(Data Integrity)가 중요시 되는 요즘, 기업이 규제 준수로 인한 법적 리스크를 최소화할 수 있도록 해당 지침에 대한 학습과 실천이 필요해 보인다.
답글 남기기
댓글을 달기 위해서는 로그인해야합니다.