제약회사 Data Integrity(DI), 실무자가 짚어주는 ALCOA+ 원칙과 실사 대응 전략

제약회사 Data Integrity(DI), 실무자가 짚어주는 ALCOA+ 원칙과 실사 대응 전략

GMP 실사에서 빠지지 않고 지적되는 이슈 중 하나가 바로 **Data Integrity(데이터 무결성)**입니다.
특히 최근에는 전자기기와 시스템 기반 기록이 일반화되면서
“이 데이터, 진짜 믿을 수 있나요?”라는 질문에 명확히 답하는 것이 매우 중요해졌습니다.
오늘은 실무자 입장에서 Data Integrity가 왜 중요한지,
ALCOA+ 원칙, 실사 대응 포인트, 그리고 현장 사례 기반 대응 전략까지 정리해보겠습니다.

DI(Data Integrity

DI(Data Integrity)란?

데이터 무결성이란, 의약품 제조 및 품질 관련 데이터가
**정확하고(Accurate), 일관되며(Consistent), 변경되지 않고(Enduring),
의도한 대로 생성되어(Attributable), 필요한 때에 접근 가능해야 한다(Available)**는 개념입니다.
FDA는 Data Integrity를 다음과 같이 정의합니다:
“의약품의 품질과 환자 안전을 보장하기 위해, 생성된 모든 데이터가 정확하고 완전하며,
변경되지 않았음을 입증할 수 있도록 유지되어야 한다.”

ALCOA+ 원칙 정리

Data Integrity의 기본 원칙은 **ALCOA+**입니다.
이는 GMP 전자기록 및 문서 시스템의 모든 기준이기도 합니다.
항목 설명
A – Attributable 누가 데이터를 생성했는지 식별 가능해야 함
L – Legible 기록은 읽기 쉬워야 하고, 지워지지 않아야 함
C – Contemporaneous 작업 수행 시점에 실시간으로 기록해야 함
O – Original 원본 또는 원본과 동일한 복사본이어야 함
A – Accurate 정확하고 오류 없이 일치해야 함
+ – 추가 요소 Complete, Consistent, Enduring, Available 등 포함

실무에서 자주 발생하는 DI 위반 사례

시험 기록 후 사후 서명 → Contemporaneous 위반
기기 시험 결과 덮어쓰기, 덮어쓴 파일로만 보고서 생성 → Original 위반
분석자가 관리자 계정으로 로그인 후 결과 수정 → Attributable 위반
Raw data는 삭제하고 report만 보관 → Complete 위반
엑셀 파일에 수기 입력 후 저장, 변경 이력 없음 → Audit Trail 미흡

실제 실무 사례

한 제약사에서는 HPLC 분석 시 결과가 기준 미달로 나왔음에도 불구하고,
시험자가 관리 권한으로 기기에 재접속하여 결과를 삭제 후 재시험한 사실이 audit trail에서 발견됨.
FDA 실사 당시 해당 내용이 지적되었고, 그 분석기기는 즉시 사용 중지 조치를 받았음.

이처럼 '의도하지 않았더라도' 시스템상 조작이 가능하다는 사실 자체만으로도
중대한 Data Integrity 위반이 될 수 있습니다.

DI가 왜 지금 더 중요해졌는가?

전자기록 기반 시스템 확산
수기기록에서 벗어난 만큼 추적 가능성(Auditability) 요구 증가
최근 GMP 위반 사례 중 약 40% 이상이 DI 위반과 연관
FDA, PIC/S, EMA는 **실사 시 DI 전담 질문 항목(Aide Memoire)**까지 운영

실사 대응 전략 (실무 대응 포인트)

Audit Trail 관리
모든 변경 기록은 자동 저장되어야 함
관리자 권한 부여, 해제 기록까지 추적 가능해야 함
권한 관리 명확화
사용자/관리자 구분, 계정 공유 금지
권한 변경 시 관리대장에 사전/사후 기록
전자기기 SOP 정비 및 검증
엑셀 사용 시, 변경 이력 관리 설정 필수
시험장비는 audit trail 기능이 포함된 기기 우선 사용
직원 교육 및 인식 개선
단순 실수도 조작 또는 위반으로 간주될 수 있음을 공유
정기 교육 및 DI 관련 퀴즈/사례 공유로 실무 감각 유지

마무리하며

Data Integrity는 단순한 기록 관리가 아닌, GMP 시스템의 신뢰성에 대한 핵심 철학입니다.
ALCOA+ 원칙은 제약업계 종사자 모두가 몸에 익혀야 할 기본 원칙입니다.
“누가, 언제, 무엇을 했고, 그 데이터는 아직 존재하며, 변경 이력도 남아 있다.”
이 말을 자신 있게 할 수 없다면, 그 기록은 신뢰받을 수 없습니다.

※ 본 글은 GMP 규정 및 실무 경험을 기반으로 작성하였으며, 회사별 시스템 구성 및 SOP에 따라 적용 방식은 다를 수 있습니다.