데이터 무결성(Data Integrity, DI)/DI 심화

DI 위반 발생 시 효과적인 위기 대응 전략

KDKKDK22 2025. 5. 17. 08:50

DI 위반 발생 시 효과적인 위기 대응 전략

 

✅ DI 위반 발생 시 효과적인 위기 대응 전략

– CAPA 작성부터 규제기관 소명까지 단계별 가이드 –

 

“DI 위반은 단순한 오류가 아닌, 시스템과 문화의 실패다.
이에 대한 대응은 기술과 조직의
신뢰를 회복하는 과정이어야 한다.”

— PIC/S PI 041-1, 2021

 

 

 


 

 

🔹 서론 – DI 위반, 어떻게 대응할 것인가?

  • 데이터 무결성(Data Integrity, 이하 DI) 위반은 GMP 시스템의
    신뢰성을 근본적으로 훼손할 수 있는 중대한 문제입니다.
  • 최근 사례를 보면, 국내 A사는 시험기록 누락으로 시정명령을 받았고,
    유럽의 B사는 전산 로그 조작으로 수출이 중단되었습니다.
  • DI 위반은 다음과 같이 유형별로 구분됩니다:
    • 시스템 오류: 자동 감사기록 미생성, 로그 누락 등
    • 조작: 시험 결과값 수기 변경, 전자기록 무단 수정
    • 기록 누락: 시험 결과 미기입, 의도적 생략, 지연 등록
  • 본 포스팅은 실무자들이 DI 위반 발생 시 즉각적 대응부터 CAPA 수립,
    규제기관 소명까지 체계적이고 신뢰성 있게 처리할 수 있도록 설계되었습니다.

 

 


 

 

🔹 본론 – 단계별 DI 위반 대응 전략

 

✅ 1단계: Incident 식별 및 초기 조치

  • DI 위반 상황을 인지하면 즉시 다음 보고체계를 따릅니다:
  • 현장 직원 → QA → 생산 책임자 → DI 책임자
  • 즉시 Incident Report를 작성하며, 다음 항목을 포함합니다:
    • 발생 일시, 위치, 작업자, 시스템 정보
    • 위반 내용 요약, 최초 발견자, 응급 조치 내용 등
  • DIA(Data Impact Assessment)를 수행하여 품질 및 환자 안전에 미치는 영향을 평가합니다.
    평가 결과는 다음과 같이 구분됩니다: 
    등급 영향 수준 예시
    Low 품질·환자 안전 무관 테스트 기록 오기
    Medium 일부 영향 가능 결과 수정 후 정정 기록 없음
    High 직접적 영향 무단 기록 삭제, 허위 입력 등
  • 응급 조치 및 기록 관리: 문제 작업 중단과 관련 배치 보류 조치와 함께,
    Temporary Record Correction(잠정 보완기록)을 통해 응급 조치와
    의사결정을 투명하게 문서화합니다.

사건사고 대응 흐름도

 

 


 

✅ 2단계: CAPA 수립 전략

  1. Root Cause Analysis (RCA)
    • 유형별 적합한 RCA 기법: 
      기법 적용 사례
      5-Why 단일 사건, 단일 작업자 실수
      Fishbone Diagram 다부서 협업 오류
      FMEA 반복 오류, 시스템적 결함 가능 시
  2. Corrective Action (CA)
    • 단기적 조치 정의:
      • 시스템 수정, 책임자 재교육, 작업 일시 중단 등
  3. Preventive Action (PA)
    • 재발 방지를 위한 시스템 개선:
      • SOP 개정, 권한관리 재설정, 백업 로깅 자동화 등
  4. 우선순위 설정 기준
    • 조치 항목은 리스크 등급별로 Critical > Major > Minor 순으로 분류하여 실행합니다.
  5. CAPA Tracking 시스템 운영
    • CAPA의 실행 → 검토 → 완료 → 효과 검증(Verification of Effectiveness, VoE)까지의
      전체 프로세스를 전산 시스템에서 체계적으로 관리합니다.

효과적인 CAPA 시스템 절차

 

 


 

✅ 3단계: 규제기관 대응 전략

  • 국내 실사에서는 '시정명령 사전소명' 제도를 활용할 수 있으므로, 소명서 준비가 필수적입니다.
  • 소명서는 다음과 같은 구성으로 작성합니다:
항목 설명 예시 근거 문서
사실(Fact) 위반 내용 Incident Report, 감사기록
원인(Cause) RCA 결과 Fishbone 분석표, 교육 미이행 확인
조치(Action) CA/PA 계획 및 실행 CAPA 실행 이력
효과(Effect) VoE 결과 추적 점검표, 교육 수료 보고서

 

 

  • 관련 기준별 필수 증빙 자료:
기준 증빙 유형
PIC/S Annex 11 시스템 로그, 감사 기록, 접근제어 이력
WHO TRS 996 SOP 개정 이력, 교육일지, 역할/권한 표기 조직도

 

소명자료 작성을 위한 구성 절차

 

 

 


 

 

🔹 정리 – DI 위반 시 실무자가 반드시 기억해야 할 3가지

 

신속한 판단보다 신뢰 회복이 우선이다

CAPA는 문서가 아니라 개선의 증거여야 한다

내부 보고와 규제 대응은 분리되지 않고 연결되어야 한다

 

DI 위반 시 핵심 3대 요소


⚠️ 이렇게 하면 위험하다! (실무 안티패턴)

  1. 여러 사용자가 공용 ID를 사용
  2. 시험을 재실행하고 최초 결과를 삭제
  3. 기록 누락 후, 승인 없이 수정한 경우

→ 위 세 가지는 모두 식약처 「의약품 제조 및 품질관리에 관한 규정」 [별표 9]
위반 소지가 있으며, 점검 시 주요 지적 대상입니다.

 

 


 

 

📚 주요 용어 정리

용어 정의
Incident 품질 또는 GMP 기준 위반 사건
CAPA 시정 및 예방 조치 조합 시스템
RCA (Root Cause Analysis) 사건의 근본 원인을 찾는 분석법
DIA (Data Impact Assessment) 품질 및 안전성 영향 평가
Temporary Record Correction 응급상황 시 작성되는 보완 기록
VoE (Verification of Effectiveness) CAPA 이행 후 효과를 검증하는 절차
Regulatory Response 규제기관 대응 문서 및 소명서

 

 

 


 

 

📕 참고문헌

  • PIC/S PI 041-1, Good Practices for Data Management and Integrity, 2021
  • MHRA, GxP Data Integrity Guidance and Definitions, 2021
  • WHO TRS 996 Annex 5, Data Integrity in Regulated Laboratories, 2021
  • 식품의약품안전처, 의약품 제조 및 품질관리에 관한 규정, 고시 제2024-87호, 별표 9
  • 식약처, 데이터 완전성 평가지침, 2023
  • ISPE, GAMP 5: A Risk-Based Approach to GxP Systems, 2008

 

 


 

 

🔗 관련 포스팅 링크