바이오의약품 제조업체 데이터 완전성 지침에 대한 제언

2020년도 어느덧 9월로 접어 들었습니다. 연말까지 아직 4개월 여가 남았지만, 다시 뒤돌아보니 다사다난이라는 표현이 적절할 정도로 어려운 시국입니다. 코로나 바이러스로 인해 전 세계적으로 경제적 어려움이 가속화되었고, 유례없는 팬데믹 상황은 앞으로도 쉽게 종식될 것 같지 않다는 보도가 연이어 발표되고 있습니다.

바이오의약품 제조업체에게는 2020년이 더욱 어려운 한 해로 기억될 것 같습니다. 지난 7월 13일, 식품의약품안전처(이하 식약처)는 바이오의약품 제조업체를 대상으로 데이터 완전성 (Data Integrity) 평가지침을 발표했습니다. 평소에 비해 짧았던 업계의견 청취기간(1주일)과 시행준비기간(1개월)로 인해 제조업체는 많은 문의 사항이 있었고, 이에 지난 8월 12일 식약처는 데이터 완전성 지침에 관련한 질의 & 답변집을 바이오의약품 제조업체에 배포하였습니다. 이러한 과정에서 Veeva Systems (이하 Veeva) 에게도 바이오의약품 제조업체 뿐만 아니라 일반 케미컬 의약품 제조업체로부터도 식약처의 지침에 대한 많은 문의가 이어졌습니다. 그래서 식약처의 평가지침에 대해 살펴보고 의약품 제조업계를 지원하기 위한 Veeva의 준비에 대해 정리해 보고자 합니다.

들어가기에 앞서

Veeva 는 제약 및 바이오 산업에 특화된 전자문서 시스템(DMS), 품질경영시스템(QMS), 교육관리시스템(LMS) 솔루션을 GxP 규정, Global 요구사항에 맞춰 제공하고 있습니다. Veeva는 SaaS (Software as a Service) 방식의 클라우드를 운영하고 있기 때문에, Veeva 소프트웨어를 사용하는 제조업체는 별도의 하드웨어 구입이나 유지관리에 대해 고민할 필요가 없으며, 컴퓨터 시스템 밸리데이션 (이하 CSV)도 Veeva가 수행 및 제공하는 IQ(설치 적격성평가), OQ(운전 적격성평가) 보고서를 사용하는 이점을 지닙니다.

Veeva에서는 식약처의 데이터 완전성 평가지침을 항목 별로 Product, Process, Customer로 구분하여 살펴 보았습니다. Veeva의 소프트웨어 설계 또는 IQ, OQ에서 확인하는 부분은 Product로, Veeva에서 운영하거나 구축 시 구성 변경을 권고하는 부분은 Process로, 고객이 담당하는 부분은 Customer(바이오의약품 제조업체)로 나누어 평가하였습니다. 데이터 완전성 지침과 평가 내용이 많아 주요 내용만 정리하였고, 각 항목 별 세부사항에 대해서는 별도의 자료로 설명드리겠습니다.

Product

Product 측면의 평가결과, Veeva 제품은 다음 기능을 통해 데이터와 관련된 GxP 원칙을 준수하도록 설계되었습니다.

1. 전자기록 및 전자서명에 대해서는 FDA, EU-GMP 규정을 준수합니다.
2. 시스템 내 문서 및 데이터의 변경(생성, 수정, 삭제표시)는 모두 점검기록(Audit trail)이 남게 됩니다. Audit trail은 시스템관리자 뿐만 아니라 일반 사용자도 권한설정을 통해 다운로드 받을 수 있습니다.
3. 유연한 Lifecycle 및 Workflow(결재경로) 기능을 통해 고객이 원하는 업무절차의 구성이 가능합니다.
4. Security(권한/보안) 설정은 사용자의 역할, ID로 구분할 수 있을 뿐만 아니라, 개별 Field(입력란)까지 수정/열람 설정이 가능할 정도로 고객이 원하는 세부적인 권한/보안 구성이 가능합니다.
5. Veeva 제품은 사람이 읽을 수 있는 형식으로 표시 또는 출력할 수 있도록 설계되었습니다. Veeva 제품에 저장된 문서는 PDF 형식으로 출력이 가능하며, 내장된 Reporting & Dashboard 기능을 통해 필요한 데이터 확인 및 출력이 가능합니다.
6. Veeva Platform은 소프트웨어 업데이트 시 고객의 데이터에 영향이 없도록 설계되었습니다.

Process

Process 측면의 평가 결과, Veeva 는 정기적인 백업 및 복구 테스트를 실시하고 결과를 고객에게 제공하며, 고객요구사항 중 평가 또는 확인이 필요한 사항에 대해 안내하고 있음을 확인했습니다.

1. Veeva는 실시간 및 매일 저장된 모든 데이터를 백업을 실시하고 있으며, 이를 통해 고객의 데이터는 영구적으로 보존됩니다.
2. Veeva는 연 2회 백업복구 테스트를 실시하여 백업과 복구 절차의 효과성을 확인하고 있으며, 테스트 결과를 고객에게 제공합니다.
3. Veeva는 보관중인 데이터에 대해 정기적으로 복구 테스트, Penetration test, Security level check를 통해 데이터 완전성을 확인하며, 테스트 결과 요약본을 고객에게 제공합니다.
4. Loader/Migration 기능을 활용하여 Veeva Vault와 다른 시스템 간 데이터 상호 교환을 구현할 수 있습니다. 단, 다른 시스템과 교환된 데이터의 완전성은 반드시 유효성 확인을 해야 합니다.

Customer (바이오의약품 제조업체)

Customer 측면의 평가는 별도의 데이터 완전성 책임 조직을 만들고, 지침과 관련된 모든 기준서를 개정하며, 개정된 업무절차에 따라 업무를 수행하는지 정기적으로 확인해야 한다는 것입니다. 불편한 언급이지만, 데이터 완전성 지침의 대상은 바이오의약품 제조업체이므로 모든 항목의 대응 및 준비, 규제준수에 대한 책임은 제조업체에게 있습니다. 다만, Veeva는 별도의 파트너사 없이 개발, 판매, 구축, 사후관리까지 모두 Veeva의 직원이 직접 수행 및 대응하기 때문에, 위에서 살펴본 Product 및 Process 측면의 지원이 가능한 파트너라고 이야기할 수 있습니다.

마무리하며

바이오의약품 제조업체로서는 기존 규정에 데이터 완전성 평가지침을 더하려니 부담이 가중되는 것이 사실입니다. 미래산업으로 각광받던 바이오의약품에 대해 본 규정을 발표한 식약처가 시장 진입장벽을 높였다고 생각할 수도 있겠습니다.

그러나 데이터 완전성이라는 개념은 새롭지 않습니다. 데이터 완전성은 GMP의 한 분야로서, US FDA (2016), EU-GMP (2016) 등에서 이미 규정되어 있었습니다. 또한 영국 의약품·건강제품 규제당국(MHRA)은 지난 2018년 3월 데이터 완전성 가이던스를 시행한 바 있습니다. 글로벌 시장을 바라보는 한국의 바이오의약품 제조업체에게는, 이번 식약처의 조치에 대해 차후 글로벌 시장 진입을 대비하는 기회로 생각해 보기를 조언해 봅니다.
다소 급하게 시행되어 규제 준수안을 준비할 시간이 부족하고, 바이오의약품 특성 상 인력 확보도 여의치 않습니다. 그동안 의약품 제조업체의 파트너로써 업계를 지원해온 Veeva의 역할이 강조되어야 할 때 입니다. Veeva 제품은 별도의 인프라가 필요하지 않고 검증에 대한 노력을 최소화하였으며, 사용자가 쉽게 설정할 수 있도록 설계되었으며 GxP 지침을 준수하도록 구현할 수 있습니다 (제품 및 서비스 문의: kr_info@veeva.com)

2020년 9월
Veeva Systems
Quality Strategy – Korea
부장 이정환