ALCOA+는 기존 ALCOA의 5대 원칙에 4개의 추가 항목을 더한 확장된 무결성 기준입니다.
디지털 환경에서의 GMP는 단순히 사람이 '정확히 작성'하는 것만으로는 부족하며, 시스템 구조적으로 무결성을 유지할 수 있어야
하기에 ALCOA+가 등장했습니다.
1. Complete - 완전성
데이터는 전체 시험·작업 과정에서 나온 모든 결과를 포함해야 하며, 불편하거나 실패한 결과도 포함되어야 합니다.
예 : 크로마토그래피 분석 중 실패한 injection, 버려진 결과값도 CDS에 저장되고 삭제되지 않아야 합니다.
2. Consistent - 일관성
시간 순서, 데이터 구조, 포맷 등이 논리적으로 이어져야 합니다. 예를 들어 분석 시작 시간이 종료 시간 보다 늦게 기재되면 일관성이 없습니다.
시스템 시계 동기화(NTP), 전산 기록 순서 확인, 버전 관리 기록이 여기에 포함됩니다.
3. Enduring - 지속성
데이터는 규정된 보존 기간
(예 : 5년, 10년) 동안 안정적으로 유지되어야 합니다. PDF 파일만 USB에 저장했다가 손실되면 지속성 위반입니다.
실무적으로 WORM 디스크, 클라우드 백업, DB 자동복구 테스트가 중요합니다.
4. Available - 가용성
감사, 점검, 승인 요청 시 즉시 데이터를 조회할 수 있어야 하며, 사용자 권한도 그에 맞게 분리되어야 합니다.
데이터가 '존재하더라도 접근이 불가능하면 무결성을 갖췄다고 할 수 없습니다.'
이 네 가지는 단순한 시스템 옵션이 아니라, CSV 수행 시 반드시 설계단계부터 반영되어야 할 핵심 요건 입니다.
ALCOA+ 기준을 만족하지 않는 시스템은 GMP 인증을 유지할 수 없습니다.
ALCOA++는 무엇이 다른가? (조직 문화, 품질 거버넌스 관점)
ALCOA++는 ALCOA+에서 한 단계 더 나아가, 기술과 시스템의 기준을 넘어서 조직의 태도, 사람의 행동, 품질 문화까지 포괄하는 개념 입니다.
주요 특징:
1. 품질 문화(Quality Culture)
실수를 숨기지 않고, 정직하게 기록하는 분위기 형성이 핵심입니다.
데이터 조작을 방지하는 기술적 장치가 있어도 사람이 조작 의지를 갖고 있으면 무용지물입니다.
2. 자율 점검 시스템
감사 대응이 아니라 사전 예방 목적의 자체 점검이 중요합니다.
예 : QA 팀에서 주기적으로 Audit Trail 리뷰 수행.
3. 책임 기반 구조
전산 담당자만의 업무가 아니라, QC, QA, CSV, RA 모든 부서가 함께 책임을 지는 체계가 중요합니다.
4. 윤리 중심의 훈련
단순히 SOP 교육이 아닌, 데이터 위조가 왜 위험한지, 어떤 윤리적 책임이 따르는지 교육하는 것이 ALCOA++의 핵심입니다.
ALCOA++는 시스템 기반에서 '사람 중심의 무결성 관리'로 확장된 철학입니다.
기술이 아니라 문화로 이어져야 합니다.
Audit Trail이란?
정의와 필수 기능
Audit Trail(감사 추적)은 전자 데이터의 생성, 수정, 삭제 및 조회 등의 모든 행위 기록을 자동으로 저장하는 기능을 말합니다.
이 기능은 전자기록에서 가장 중요한 데이터 무결성 보증 수단으로, 기록의 진위를 입증하는 '디지털 증거'라 할 수 있습니다.
Audit Trail은 GMP 환경에서 다음과 같은 목적을 가집니다:
기록 조작 여부 확인: 누가, 언제, 무엇을 변경했는지를 추적
문제 발생 시 원인 분석: 변경 전/후 값 비교를 통해 오류의 원인을 파악
규제기관 감사 대응: 변경 이력 제출 요구 시 즉시 대응 가능
문서 진본성 유지: 조작이나 삭제된 기록은 모두 시스템에 남게 함
Audit Trail의 필수 구성 요소
구성 요소
설명
사용자 ID
누가 해당 행위를 했는가 (로그인 사용자 계정)
타임스탬프
언제 했는가 (년/월/일/시간/초)
작업 유형
무엇을 했는가 (추가, 수정, 삭제, 조회 등)
변경 전/후 값
어떤 값을 어떤 값으로 바꿨는가
변경 사유
변경 이유(선택 또는 필수 기재)
적용 시스템 예시
CDS (예: Empower): 피크 재처리 내역, 채널 삭제 로그, 시퀀스 편집 기록
LIMS: 시험결과 승인 철회, 항목 변경, 상태 플래그 변경 로그
MES: 제조 공정 단계 이동, 배치 결과 재입력, 전자 서명 기록
Audit Trail은 단순히 "시스템에 로그가 남는다"는 수준을 넘어,
해당 로그가 삭제 불가능하며, 감사 시 투명하게 공개될 수 있어야 진정한 무결성 도구로 인정받습니다.
Audit Trail이 없거나 꺼져 있으면 벌어지는 일 (FDA 경고장 사례 포함)
전자기록 시스템을 사용하면서 Audit Trail이 없거나 꺼져 있는 경우,
이는 GMP 규정 위반으로 간주되며, FDA, MHRA, PIC/S 등의 규제기관은 매우 심각한 사안으로 취급합니다.
Audit Trail 기능을 꺼두면 어떤 일이 발생할까요?
데이터 조작이 감지되지 않음 (기록 삭제 후 재입력 가능)
승인되지 않은 사용자가 기록을 수정해도 흔적이 없음
시스템 관리자가 모든 기록을 뒤에서 변경 가능
시험 실패 결과를 사후 삭제해도 로그가 없음
‘무엇이 잘못됐는지’를 추적할 수 없음
실제 경고 사례
FDA Warning Letter 320-23-37 (2023) “Your laboratory systems did not have audit trails enabled. During inspection, it was found that your analysts were able to delete test results without traceability, and retest samples without prior documentation of the failure…”
영향: 제품 7개 품목 회수 명령 + 제조 허가 일시정지 + CAPA 재제출 요청
Audit Trail은 단순한 기술 옵션이 아니라, GMP 데이터 신뢰성의 법적 장치입니다.
실제로 시스템이 Audit Trail 기능을 보유하고 있어도, 이를 비활성화 상태로 두었다면
그 자체가 규정 위반입니다. 특히 다음과 같은 사례가 위험합니다
Audit Trail을 저장하지 않고 30일 후 자동 삭제 설정
CSV 과정에서 Audit Trail 항목을 제외하고 수행
전자서명 로그를 저장하지 않음
감사 시 Audit Trail 제출 불가
실무에서 반드시 점검해야 할 것 :
시스템 설치 시 Audit Trail이 기본적으로 활성화되어 있는가?
임의적으로 해당 기능을 Off가 불가능한가?
그 로그를 QA 또는 감사자(Inspector)가 검토 가능하게 설계되어 있는가?
실무 적용 예시
Audit Trail과 ALCOA+를 실제 GMP 현장에서 어떻게 적용할 수 있는지 구체적인 실무 사례 중심으로 정리합니다.
① 사용자 계정 관리
모든 사용자에게 고유한 계정 부여(예: 사번형식의 ID)
계정 공유 절대 금지 (규제기관의 주요 지적사항)
관리자 계정 접근 제한 / 계층화 (시스템별 SOP화)
계정 사용 이력, 로그인 실패 이력 자동 기록
팁 : "일반 사용자 계정은 분석 Method만 열람 가능 및 시험 결과만 입력 가능, Review,Approval 권한은 QA에만 부여" 하는 구조가 이상적입니다.
Delete(삭제)의 경우는 어떠한 경우에도 불가능하게 만들어야함.
Stand alone type의 로컬 시스템 장비의 경우, 위 경우가 지켜지지 않는 경우가 많으며
Windows 폴더 권한 설정으로 해당 기능 제거할 수있음(추후 내용 따로 포스팅 예정)
② 변경 이력 확인 기능
시험 항목, 사양치, 장비 ID, 서명자 등 중요한 항목은 변경 시 Audit Trail 자동 생성
CDS 시스템은 재처리, 채널 변경, 시퀀스 수정 등에 대한 로그 필수
LIMS는 ‘결과 철회 후 재입력’ 시도에 대해 사유 입력 및 로그 확인 필요
팁 : 변경 이력 리뷰는 QA가 정기적으로 수행하고 문서화해야 합니다.
③ 전자서명 관리 포인트
전자서명은 서명자 ID + 비밀번호 이중 구조로 구성
서명 시 ‘서명자 ID, 일시, 사유’ 기록이 자동 저장되어야 함
서명 취소 기능은 비활성화하거나, 로그에 자동 기록
전자서명은 감사 대상이므로 추적·제출 가능해야 함
팁: CDS나 MEA에서 전자서명 사용 시 감사 추적 로그와 함께 백업하는 SOP 운영 필요.
[마무리] 데이터 무결성을 위한 실무자의 체크리스트
·모든 데이터가 ALCOA 원칙을 따르고 있는가?
·실패/폐기/미처리된 데이터도 보관되고 있는가?
·Audit Trail은 활성화되어 있고, 로그가 유지되는가?
·사용자 계정은 부서별로 분리 관리되고 있는가?
·전자서명에는 사유·일시·서명자 ID가 포함되는가?
·변경 이력을 QA가 정기적으로 검토하고 문서화하는가?
·감사 요청 시 필요한 데이터를 10분 내에 꺼낼 수 있는가?
이러한 항목 중 3개 이상에 대해 "모르겠다/아니다" 라면,
당신의 회사 시스템의 경우,
현재 감사 리스크 상태 입니다.
GMP 감사는 기록의 양이 아니라,
그 기록이 얼마나 "정직하게" 남아 있는지를 봅니다.
지금 현재 해당 직무를 수행하는 많은 DI 및 QA 담당자 분들이 계십니다.
물론 저도 어느정도 이상과 현실은 다르다고 생각합니다.
해당 직무가 여러부서와의 협업이 굉장히 중요시 되는 직무이며,
실제로 감사가 필요한 직무이므로 타 부서와 관계가 조금 어려운거 또한 저도 잘 알고 있습니다.
ㅠㅠ
밤 늦게까지 고생하시는 DI 담당자 분들 힘내세요.
그럼 20000
다음 편은 전자서명(ER/ES)와 21 CFR Part 11 실무 적용 전략에 대해서 이어가겠습니다.
GMP 실무자 필독: ALCOA+부터 Audit Trail까지, 데이터 무결성 이건 모르면 위험합니다. 📙 2편: ALCOA+와 Audit Trail 실무 적용법, 현장에서는 이렇게 합니다
- GMP 실무자, CSV 담당자, QA·QC를 위한 데이터 무결성 확장 기준 완전 정리
[복습] ALCOA의 5가지 기본 원칙 요약
ALCOA는 GMP 데이터 무결성의 근간을 이루는 다섯 가지 원칙으로, 오늘날 FDA,EMA,MHRA를 포함한 모든 주요 규제기관이
GMP 문서와 전산 시스템에 적용하는 기준입니다.
이 원칙은 단순한 개념이 아니라 기록이 '신뢰받을 수 있는 데이터'가 되기 위한 최소한의 조건을 제시합니다.
1. Attributable - 귀속 가능성
데이터는 누가 언제 생성했는지 명확해야 합니다. 서명,ID,타임스탬프,로그 기록 등을 통해 기록의 작성자, 변경자, 승인자를 추적 할 수 있어야 합니다.
실무에서는 전자서명(ES)과 사용자 계정(ID) 관리가 핵심입니다.
2. Legible - 가독성
기록은 언제나 명확하게 읽을 수 있어야 하며, 시간이 지나도 손상되거나 지워지지 않아야 합니다.
수기 기록은 볼펜,연필 금지, 흠집 방지 등 실물 관리가 중요하며, 전자기록은 뷰어·포맷·시스템 호환성이 핵심입니다.
3. Contemporaneous - 동시성
데이터는 작업 이루어진 그 시점에 바로 기록되어야 합니다.
'기억해서 나중에 적는다'는 행위는 GMP 위반입니다.
장비 로그, 자동 타임스탬프, 시스템 동기화 기능이 이 원칙을 충족시킵니다.
4. Original - 원복성
데이터는 원복 혹은 신뢰 가능한 정본이어야 하며, 복사본은 기준으로 사용할 수 없습니다.
전자 시스템에서는 데이터베이스 원본뿐 아니라 감사추적(Audit Trail)과 메타데이터까지 포함되어야 합니다.
5. Accurate - 정확성
수치는 올바르게 계산되어야 하고, 단위나 소수점 오류 없이 정확해야 합니다. 이를 위해 교정된 장비, 계산 로직 검증, 자동 계산기능 사용이 필요합니다.
ALCOA는 단순한 문서 작성 규칙이 아닙니다.
이 다섯 가지를 충족하지 못하면 '해당 기록은 GMP상 무효'로 간주될 수 있으며, 이는 감사·승인 과정에서 직접적인 경고나
제재로 이어질 수 있습니다.
ALCOA+란? (Complete / Consistent / Enduring / Available)
ALCOA+는 기존 ALCOA의 5대 원칙에 4개의 추가 항목을 더한 확장된 무결성 기준입니다.
디지털 환경에서의 GMP는 단순히 사람이 '정확히 작성'하는 것만으로는 부족하며, 시스템 구조적으로 무결성을 유지할 수 있어야
하기에 ALCOA+가 등장했습니다.
1. Complete - 완전성
데이터는 전체 시험·작업 과정에서 나온 모든 결과를 포함해야 하며, 불편하거나 실패한 결과도 포함되어야 합니다.
예 : 크로마토그래피 분석 중 실패한 injection, 버려진 결과값도 CDS에 저장되고 삭제되지 않아야 합니다.
2. Consistent - 일관성
시간 순서, 데이터 구조, 포맷 등이 논리적으로 이어져야 합니다. 예를 들어 분석 시작 시간이 종료 시간 보다 늦게 기재되면 일관성이 없습니다.
시스템 시계 동기화(NTP), 전산 기록 순서 확인, 버전 관리 기록이 여기에 포함됩니다.
3. Enduring - 지속성
데이터는 규정된 보존 기간
(예 : 5년, 10년) 동안 안정적으로 유지되어야 합니다. PDF 파일만 USB에 저장했다가 손실되면 지속성 위반입니다.
실무적으로 WORM 디스크, 클라우드 백업, DB 자동복구 테스트가 중요합니다.
4. Available - 가용성
감사, 점검, 승인 요청 시 즉시 데이터를 조회할 수 있어야 하며, 사용자 권한도 그에 맞게 분리되어야 합니다.
데이터가 '존재하더라도 접근이 불가능하면 무결성을 갖췄다고 할 수 없습니다.'
이 네 가지는 단순한 시스템 옵션이 아니라, CSV 수행 시 반드시 설계단계부터 반영되어야 할 핵심 요건 입니다.
ALCOA+ 기준을 만족하지 않는 시스템은 GMP 인증을 유지할 수 없습니다.
ALCOA++는 무엇이 다른가? (조직 문화, 품질 거버넌스 관점)
ALCOA++는 ALCOA+에서 한 단계 더 나아가, 기술과 시스템의 기준을 넘어서 조직의 태도, 사람의 행동, 품질 문화까지 포괄하는 개념 입니다.
주요 특징:
1. 품질 문화(Quality Culture)
실수를 숨기지 않고, 정직하게 기록하는 분위기 형성이 핵심입니다.
데이터 조작을 방지하는 기술적 장치가 있어도 사람이 조작 의지를 갖고 있으면 무용지물입니다.
2. 자율 점검 시스템
감사 대응이 아니라 사전 예방 목적의 자체 점검이 중요합니다.
예 : QA 팀에서 주기적으로 Audit Trail 리뷰 수행.
3. 책임 기반 구조
전산 담당자만의 업무가 아니라, QC, QA, CSV, RA 모든 부서가 함께 책임을 지는 체계가 중요합니다.
4. 윤리 중심의 훈련
단순히 SOP 교육이 아닌, 데이터 위조가 왜 위험한지, 어떤 윤리적 책임이 따르는지 교육하는 것이 ALCOA++의 핵심입니다.
ALCOA++는 시스템 기반에서 '사람 중심의 무결성 관리'로 확장된 철학입니다.
기술이 아니라 문화로 이어져야 합니다.
Audit Trail이란?
정의와 필수 기능
Audit Trail(감사 추적)은 전자 데이터의 생성, 수정, 삭제 및 조회 등의 모든 행위 기록을 자동으로 저장하는 기능을 말합니다.
이 기능은 전자기록에서 가장 중요한 데이터 무결성 보증 수단으로, 기록의 진위를 입증하는 '디지털 증거'라 할 수 있습니다.
Audit Trail은 GMP 환경에서 다음과 같은 목적을 가집니다:
Audit Trail의 필수 구성 요소
적용 시스템 예시
Audit Trail은 단순히 "시스템에 로그가 남는다"는 수준을 넘어,
해당 로그가 삭제 불가능하며, 감사 시 투명하게 공개될 수 있어야 진정한 무결성 도구로 인정받습니다.
Audit Trail이 없거나 꺼져 있으면 벌어지는 일 (FDA 경고장 사례 포함)
전자기록 시스템을 사용하면서 Audit Trail이 없거나 꺼져 있는 경우,
이는 GMP 규정 위반으로 간주되며, FDA, MHRA, PIC/S 등의 규제기관은 매우 심각한 사안으로 취급합니다.
Audit Trail 기능을 꺼두면 어떤 일이 발생할까요?
실제 경고 사례
FDA Warning Letter 320-23-37 (2023)
“Your laboratory systems did not have audit trails enabled. During inspection, it was found that your analysts were able to delete test results without traceability, and retest samples without prior documentation of the failure…”
영향: 제품 7개 품목 회수 명령 + 제조 허가 일시정지 + CAPA 재제출 요청
Audit Trail은 단순한 기술 옵션이 아니라, GMP 데이터 신뢰성의 법적 장치입니다.
실제로 시스템이 Audit Trail 기능을 보유하고 있어도, 이를 비활성화 상태로 두었다면
그 자체가 규정 위반입니다. 특히 다음과 같은 사례가 위험합니다
실무에서 반드시 점검해야 할 것 :
시스템 설치 시 Audit Trail이 기본적으로 활성화되어 있는가?
임의적으로 해당 기능을 Off가 불가능한가?
그 로그를 QA 또는 감사자(Inspector)가 검토 가능하게 설계되어 있는가?
실무 적용 예시
Audit Trail과 ALCOA+를 실제 GMP 현장에서 어떻게 적용할 수 있는지 구체적인 실무 사례 중심으로 정리합니다.
① 사용자 계정 관리
팁 : "일반 사용자 계정은 분석 Method만 열람 가능 및 시험 결과만 입력 가능, Review,Approval 권한은 QA에만 부여" 하는 구조가 이상적입니다.
Delete(삭제)의 경우는 어떠한 경우에도 불가능하게 만들어야함.
Stand alone type의 로컬 시스템 장비의 경우, 위 경우가 지켜지지 않는 경우가 많으며
Windows 폴더 권한 설정으로 해당 기능 제거할 수있음(추후 내용 따로 포스팅 예정)
② 변경 이력 확인 기능
팁 : 변경 이력 리뷰는 QA가 정기적으로 수행하고 문서화해야 합니다.
③ 전자서명 관리 포인트
팁: CDS나 MEA에서 전자서명 사용 시 감사 추적 로그와 함께 백업하는 SOP 운영 필요.
[마무리] 데이터 무결성을 위한 실무자의 체크리스트
· 모든 데이터가 ALCOA 원칙을 따르고 있는가?
· 실패/폐기/미처리된 데이터도 보관되고 있는가?
· Audit Trail은 활성화되어 있고, 로그가 유지되는가?
· 사용자 계정은 부서별로 분리 관리되고 있는가?
· 전자서명에는 사유·일시·서명자 ID가 포함되는가?
· 변경 이력을 QA가 정기적으로 검토하고 문서화하는가?
· 감사 요청 시 필요한 데이터를 10분 내에 꺼낼 수 있는가?
이러한 항목 중 3개 이상에 대해 "모르겠다/아니다" 라면,
당신의 회사 시스템의 경우,
현재 감사 리스크 상태 입니다.
GMP 감사는 기록의 양이 아니라,
그 기록이 얼마나 "정직하게" 남아 있는지를 봅니다.
지금 현재 해당 직무를 수행하는 많은 DI 및 QA 담당자 분들이 계십니다.
물론 저도 어느정도 이상과 현실은 다르다고 생각합니다.
해당 직무가 여러부서와의 협업이 굉장히 중요시 되는 직무이며,
실제로 감사가 필요한 직무이므로 타 부서와 관계가 조금 어려운거 또한 저도 잘 알고 있습니다.
ㅠㅠ
밤 늦게까지 고생하시는 DI 담당자 분들 힘내세요.
그럼 20000
다음 편은 전자서명(ER/ES)와 21 CFR Part 11 실무 적용 전략에 대해서 이어가겠습니다.
'👨💻 IT & 과학' 카테고리의 다른 글