데이터 프로세싱, 점검 기록에 대하여

안녕하세요 다비맘 유꽃입니다.

오늘도 데이터 완전성 주요 개념에 대해서 더 알아보도록 하겠습니다.

 

4. 데이터 완전성 주요 개념

4.11 데이터 프로세싱(Data Processing)

데이터 프로세싱은 데이터를 규정된 형식으로 추출, 표현 또는 정보를 획득하기 위해서 수행하는 일련의 작업을 말합니다. 예를 들어 개별 데이터를 통계적으로 분석하여 경향을 표현하거나 원본 전자 신호를 크로마토그램으로 변환하여 숫자화하고, 그 이후에 계산된 결과로 만드는 과정을 말합니다. 원본 데이터에 대해 데이터 프로세싱 활동에 사용되는 사용자가 정의한 모든 변수는 활동을 수행한 사람에 대한 정보를 포함해서 적절하게 추적할 수 있어야 합니다.

 

점검기록과 보관된 기록은 데이터 프로세싱의 결과를 보고하거나 규제 대응 또는 사업적인 목적으로 사용되는 것과 상관없이, 모든 데이터 프로세싱 활동의 재구성이 가능해야 합니다. 데이터 프로세싱이 프로세싱 변수를 점진적으로 변경하면서 반복되는 경우에는 프로세싱 변수가 더 바람직한 결과를 얻기 위해 변경되는 것이 아니라는 것을 보장해야 합니다.

 

4.12 점검기록(Audit Trail)

▶ 메타데이터

점검기록은 GMP 기록의 생성, 변경 또는 삭제에 관한 활동과 연관되는 정보를 포함하는 메타데이터의 형식입니다. 점검기록의 생성, 추가, 삭제 또는 변경과 같은 전주기(Lifecycle)에 대한 보안이 유지되는 기록을 제공하는데, 종이 기록이든 전자 기록이든 관계없이 원본 기록을 훼손하거나 덮어쓰지 않습니다.

점검기록은 저장 매체에 관계없이 발생한 행위에 대해 '누가, 무엇을, 언제, 왜'를 포함하는 정보를 포함하여 기록에 관련되는 이력을 재구성하는 것을 가능하게 합니다.

 

▶ 컴퓨터화 시스템

컴퓨터화된 시스템을 원본 데이터를 전자적으로 획득, 처리, 보고, 저장 또는 보관하는 데 사용하는 경우, 시스템이 이전 데이터와 원본 데이터를 유지하면서 데이터에 대한 모든 변경 또는 삭제를 보여줄 수 있는 점검기록을 보관하도록 설계해야 합니다.

점검기록은 모든 데이터 및 데이터의 변경에 대해 변경을 수행한 사람의 정보와 함께 연관되어 있어야 하며, 변경은 (가능하다면 시간과 시간대를 포함하여) 날짜와 시간이 기록되어야 합니다. 모든 변경의 사유 또한 기록되어야 합니다. 감사 추적 정보에 포함해야 하는 항목은 프로세스 또는 활동을 재구성하는 것이 가능하도록 하기 위한 항목들입니다.

점검기록(위험 평가에서 필요한 것으로 판단되는 경우)은 활성화되어야 합니다. 사용자들은 감사 추적 정보를 수정하거나 비활성화할 수 없어야 합니다. 시스템 관리자가 점검 기록을 수정하거나 비활성화하는  경우, 그 행위에 대한 기록을 유지해야 합니다. 

데이터를 확실하게 검토하고 확인하는 데에 필요한 적절한 데이터가 점검기록에 보존되도록 고려해야 합니다. 시스템의 모든 활동에 대해서까지 점검기록을 검토할 필요는 없습니다.

 

▶ 점검기록 생성이 되지 않는 구형시스템

적절한 점검기록 기능이 존재하지 않는 경우(예: 기존의 시스템)는 SOP에 프로세스를 정의하고 로그북을 사용하는 것과 같은 방식으로 차선의 관리 방법을 구성할 수 있습니다. 다만 차선의 관리 방법은 유효하다는 것이 증명되어야 합니다.

추가 소프트웨어나 규정에 적합한 시스템이 현재 존재하지 않아서 기존의 시스템을 계속해서 사용하는 경우에는 규정을 준수하는 시스템을 찾고 있으며, 지속적인 사용을 위해서 보완 방법을 적용하고 있다는 것을 증빙하는 문서로 그 타당성을 제시해야 합니다. 시스템이 점검 기능과 개인 사용자 계정에 대한 요구 사항을 충족시키지 못하는 경우 이러한 단점을 보완하기 위한 검증된 프로세스가 존재해야 합니다. 이것은 이러한 추가적인 기능을 제공하는 추가 소프트웨어를 도입하거나 규정을 준수하는 시스템으로 업그레이드함으로써 가능합니다. 보완 계획이 마련되어 있지 않거나, 일정에 따라서 점차적으로 적용하고 있지 않으면 결함 사항으로 지적을 받을 수 있습니다.

 

▶ 정기적인 데이터 검토

정기적인 데이터 검토는 위험 평가에 따라 결정된 문서화된 점검기록 검토를 포함해야 합니다. 점검기록의 검토를 위한 시스템을 디자인할 때 GMP 관련이 있는 것으로만 한정할 수 있습니다.

검토자는 점검기록, 원본 데이터 및 메타 데이터를 검토하기 위해서 충분한 지식과 시스템에 대한 접근 권한을 가지고 있어야 합니다.

 

4.13 전자 서명(Electronic signatures)

전자 서명은 서명자를 확인할 수 있는 디지털 형태의 서명입니다. 이것은 서명자의 수기 서명과 동등합니다.

▶ 전자 서명 관리

전자 서명 사용은 다음을 고려하면서 적절하게 관리해야 합니다.

- 전자서명의 개인 부여 방법

- 전자서명을 하는 행위가 시스템 내부에서 기록되어, 서명을 무효화하거나 입력된 상태를 무효화하지 않고는 변경 또는 조작이 불가능하도록 관리

- 전자 서명 사용 시 적용 날짜 및 시간이 자동으로 기록되도록 관리

- 전자서명의 기록이 어떻게 입력값과 연관되며 검증하는 방법

- 전자 서명의 보안, 즉 서명이 오직 그 서명의 '소유자'에 의해서만 사용

 

▶ 밸리데이션

시스템에 관련되는 서명 프로세스가 적합하고 서명한 기록이 유지된다는 것을 증명하기 위해 적절한 밸리데이션을 수행해야 합니다. 전자적으로 서명한 문서를 종이 또는 PDF 사본으로 만드는 경우 관련 문서와 함께 전자서명에 관련된 메타데이터가 유지되어야 합니다.

 

▶ 인증

전자 서명을 사용할 때는 국제 표준의 요구사항을 충족해야 합니다. 위험을 평가해서 선진화된 전자서명방법을 사용하여 인증하는 방법이 필요한지 생각해봐야 합니다. 전자 서명 또는 전자 서명 시스템은 '서명 표시'를 제공해야 하는데, 누가 서명 했으며, 직책, 날짜 및 시간과 서명의 의미(확인 또는 승인했다는)를 규정하는 시각적인 기록으로 나타내는 것입니다.

 

▶ 메타데이터

서명의 이미지를 삽입하거나 문서가 전자적으로 서명되었음을 나타내는 각주를 표기하는 것과 (밸리데이션된 전자 서명 프로세스에 의한 것이 아닌 방법으로 입력된 경우)은 적절하지 않습니다. 문서가 전자적으로 서명되었을 경우에는 서명에 관련되는 메타 데이터가 유지되어야 합니다. 

 

*참고문서

첨단바이오의약품 데이터 완전성 안내서