참고: 이 내용은 2022. 4. 6에 게시된 컨텐츠(Building GxP Compatible Systems with Snowflake)에서 번역되었습니다.
저는 제약 및 의료 기기 업체와 20년 이상 일해 온 품질 관리자입니다. 비유적으로 말하자면, 이런 저를 오싹하게 하고 도망치게 만드는 말이 하나 있습니다. 생명과학 조직의 누군가(일반적으로 IT 담당자)가 “우리는 새로운 시스템을 구현하고 있습니다. 그런데 누군가 검증이 필요할 수 있다고 말했습니다.”라고 말하는 것입니다. 더 무서운 것은 과거형 버전입니다. “우리는 이 놀라운 새로운 시스템을 구현했습니다.” 이 말은 저의 도망치고 싶다는 충동을 농담에서 진심으로 바꿔버립니다.
언젠가 한 동료가 HPLC(고성능 액체 크로마토그래피) 데이터를 관리하는 데 사용하는 실험실 정보 관리 시스템(LIMS)을 검증하는 것 때문에 제게 접근한 적이 있습니다. 익숙하지 않은 사람들에게는 이 두 가지 모두 충분히 구성 가능한 것이며, 이들을 복잡한 시스템으로 분류하는 것은 절제된 표현입니다. 그들은 이 시스템을 2주 내에 가동해야 한다고 했습니다. 저는 웃음이 나와버렸습니다. 당연히 농담이라고 생각했죠…하지만 그는 진심이었습니다.
제 첫 반응이 어떠했든 간에 결국 제 호기심이 발동했습니다. – 어떤 시스템이죠? 용도는 무엇입니까? 공급업체가 승인했고 허가를 내렸습니까? 테스트를 했습니까? 했다면 얼마나 했나요? 새 제품입니까, 아니면 기존 시스템을 대체하는 것입니까? 21 CFR Part 11을 준수합니까? 제작인가요, 아니면 연구개발인가요? 용도는 무엇인가요? 맞습니다, 맞아요… 이미 물어봤지만 또 물어볼 만한 걸요.
이러한 모든 질문에 대한 답변은 GxP 규정 준수 노력의 초석이며, 그 범위를 정의하는 데 도움이 됩니다. 자격을 갖추고 승인받은 공급업체는 시스템을 제조/판매하는 회사가 최소 품질 표준을 충족함을 보여 줍니다. 수행된 테스트의 양은 특정 규제 요건을 충족하는 데 필요한 추가 작업의 양을 줄여줄 수 있습니다.
용도
제 생각에 용도는 모든 검증 노력의 가장 중요한 측면이라고 생각합니다. 용도는 여러분이 수행하는 모든 것을 형성하고 형상화합니다. 그리고 무엇보다도 여러분이 수행하지 않는 것도 형상화합니다. 시스템 또는 애플리케이션의 용도는 문서, 교육 및 그 사이의 모든 것은 물론, 필요한 테스트의 양(그리고 가능한 수준)뿐만 아니라 위험의 양까지 증가시킵니다.
지난 10여 년 동안 용도 및 위험 기반 의사 결정이 주목을 받았습니다. 우리는 더 이상 시스템이 제공하는 모든 기능을 테스트하지 않아도 됩니다. 대신, 시스템이 어떻게 사용될 것인지에 대한 합리적인 범위에 있는 기능에만 노력을 집중하면 됩니다. 그 예로는 전자 품질 관리 시스템(QMS)이 있습니다. 시스템에서 CAPA(수정 및 예방 조치)만 구현할 경우 다른 품질 이벤트나 문서 관리, 공급업체 자격, 감사 등을 테스트할 이유가 없습니다.
현재 SaaS 모델과 Snowflake의 데이터 클라우드 환경에서는 규정 요구 사항을 준수하는 시스템을 갖추기 위해 의도된 용도를 이해하는 것이 절대적으로 중요합니다. Snowflake를 기반으로 하는 애플리케이션을 개발하고 있습니까? 시스템을 Snowflake에 연결합니까? 어떤 유형의 데이터를 저장합니까? 데이터는 어떻게 사용됩니까? 이러한 질문 및 기타 질문에 대한 답변에 따라 호환되고 검증된 환경을 만드는 방법과 범위가 달라집니다.
궁극적으로 규정 준수는 객관적인 증거를 통해 환자의 안전, 제품 품질 및 데이터 무결성에 미치는 위험과 영향을 줄이거나 제거할 수 있는 통제력을 보여주는 것입니다. 이것은 의약품과 의료기기와 같은 물리적 제품뿐만 아니라 해당 제품이 어떻게 만들어지는지에 대한 기록을 보유한 소프트웨어 시스템에도 적용됩니다. 또한 진단 및 데이터 분석도 환자 치료에서 점점 더 많은 역할을 수행하고 있습니다.
공급업체 자격
공급업체가 상품 및/또는 서비스를 안정적으로 제공할 수 있도록 보장하는 것은 업계에 상관없는 관행입니다. 모든 소비자는 구입한 서비스가 사전 정의된 요구 사항을 충족하는지 확인해야 합니다. 그 자리에 안주하지 마십시오. FDA가 규제하는 업계의 경우, 자격을 갖춘 공급업체는 모범 사례가 아니라 필수 사항입니다.
허용 가능한 수준의 품질을 확인하는 것은 각 개별 조직에 달려 있습니다. 이러한 표준은 특정 정책 및 프로세스 문서, 타사 인증 또는 증명 또는 특정 보안 표준으로 구성될 수 있습니다. 이 평가는 벤치 감사, 설문지, 현장 또는 원격 감사 등 다양한 방법으로 수행할 수 있습니다.
컴퓨터 시스템 검증
컴퓨터화된 시스템 또는 애플리케이션이 의도한 대로 작동하는지 테스트하고 확인하는 프로세스는 다면적이며 신중한 계획이 필요합니다.
계획이란 미리 정의된 검증 요구사항, 해당 요구 사항을 충족하기 위한 테스트 및 용도를 충족하는지 여부를 안내하는 로드맵입니다. 또한 데이터 마이그레이션(필요한 경우) 및 교육 등 프로덕션 사용을 시작하기 위해 필요한 추가 활동도 파악합니다.
규정 준수 팀이 Snowflake의 사용법을 이해할 수 있도록 돕는 것이 중요합니다. 어떻게 데이터를 수집하실 건가요? 기존 시스템/플랫폼/애플리케이션에서 데이터를 마이그레이션하시겠습니까? 데이터가 스프레드시트에 있습니까? 시스템이 Snowflake를 통해 작동됩니까? 아니면 새로운 구현인가요? 각 시나리오에는 검증 과정에서 매우 구체적인 요구사항이 있으며, 규제 요구사항이 서로 매우 다를 수도 있습니다.
21 CFR Part 11
기관 규정에 명시된 기록 요건에 따라 Snowflake를 사용하여 전자 형식의 기록(예: 생성, 수정, 유지, 보관, 검색 또는 전송)을 관리하는 고객은 21 CFR Part 11 전자 기록: 전사 서명 내의 해당 요건을 준수해야 합니다. 고객은 Snowflake의 용도가 이 범위에 포함되는지 여부를 결정해야 합니다.
Snowflake는 고객이 21 CFR Part 11 조항을 준수하는지 입증하는 데 도움이 되는 여러 기능을 가지고 있습니다. 특히 폐쇄된 시스템 및 액세스 제어, 감사 기록 및 기록 보존에 대한 제어에 관한 것입니다. Snowflake는 고객의 데이터에 대한 액세스만 고객이 제어하고 관리하는 폐쇄형 시스템으로 설계되었습니다. Snowflake는 데이터 암호화, MFA, 키 쌍 인증 및 순환, SSO, 역할 기반 액세스 제어 등과 같은 업계 최고의 기능을 제공하여 계정 및 사용자뿐만 아니라 Snowflake에 저장하는 모든 데이터에 대한 최고 수준의 보안을 보장합니다.
Snowflake 서비스를 지원하는 시스템 및 인프라에 액세스하는 직원의 경우 각 사용자는 고유한 사용자 이름과 비밀번호를 가지고 있어야 합니다. 각 사용자에 대해 Snowflake 서비스는 계정이 로그인한 시점부터 계정이 로그아웃될 때까지의 모든 활동을 기록합니다. 이 활동은 Snowflake 데이터베이스의 ACCOUNT_USAGE 및 READER_ACCOUNT_USAGE 스키마에서 찾을 수 있습니다. 이러한 보기를 통해 개체 메타데이터와 과거 사용량 데이터를 쿼리할 수 있습니다. ACCOUNT_USAGE 및 READER_ACCOUNT_USAGE 보기는 여기와 여기에서 각각 볼 수 있습니다.
이러한 보기에 포함된 데이터는 달리 명시되지 않은 한 1년간 보존됩니다. 감사 추적 요구사항의 준수를 입증하기 위해 고객은 자신의 환경에 시스템 로그를 수집(복제)하여 감사 기록을 보존할 수 있습니다. 고객은 자신의 데이터와 자신의 데이터에 액세스할 수 있는 사람을 완벽하게 제어할 수 있습니다. 기록 보존 정책은 고객이 자신이 의도한 용도 및 요구에 따라 식별되어야 합니다.
컴퓨터화된 시스템 검증을 위한 규정 준수를 결정할 때 고려해야 할 몇 가지 구성 요소와 사항이 있습니다. 의도된 용도를 확인하는 것은 아마도 가장 중요한 것 중 하나일 것입니다. 적어도 제 소견으로는 그렇습니다. 따라서 계획, 공급업체 자격 검증, 검증 테스트 및 기타 여러 활동과 같은 다른 구성요소와 함께 조화될 때만 조직이 진정으로 규정 준수 노력을 집중시킬 수 있다는 점을 이해하는 것이 중요합니다. 또한 Snowflake부터 시작하면 규정 준수 과정을 지원할 수 있는 기반을 마련할 수 있을 것입니다.