본문으로 건너뛰기

기록, 서명, 그리고 법: 21 CFR Part 11과 EU Annex 11

📍 현재 위치: 우리는 데이터를 신뢰할 수 있게 만드는 원칙을 갖추었습니다. 이제 신뢰할 수 있는 전자 기록이 종이에 쓴 잉크와 똑같이 법적으로 인정받게 해주는 법규를 만나봅니다.

지난 장에서 우리는 데이터 무결성(data integrity), 즉 기록이 의약품 그 자체를 대신할 만큼 신뢰할 수 있어야 한다는 개념과, "신뢰할 수 있다"가 무엇을 의미하는지 풀어 쓴 ALCOA+ 원칙을 만났습니다. 기록은 Attributable(귀속 가능), Legible(판독 가능), Contemporaneous(동시 기록), Original(원본), Accurate(정확)해야 하며, 여기에 더해 Complete(완전), Consistent(일관), Enduring(지속), Available(이용 가능)해야 합니다. 이것들은 훌륭한 원칙입니다. 하지만 원칙만으로는 전자 서명을 법적으로 구속력 있게 만들거나 데이터베이스 항목을 규제기관에 증거로 인정받게 할 수 없습니다. 그러려면 법이 필요합니다.

이 장은 그 법에 관한 것입니다. 두 개의 문서가 이 분야를 지배합니다. 미국의 21 CFR Part 11과 유럽연합의 GMP Annex 11입니다. 이 둘은 함께 하나의 질문에 답합니다. 컴퓨터 기록이 언제 종이 한 장만큼 좋다고 할 수 있는가?

예비규정을 기반으로 그 위에 21 CFR Part 11과 EU Annex 11이 얹혀 전자 기록을 신뢰할 수 있게 만드는 계층 구조를 보여주는 도해. Part 11과 Annex 11은 기록을 만들어 내지 않습니다 — 기반이 되는 예비규정(predicate rules) 위에서 전자 기록을 신뢰할 수 있게 만듭니다. 저자 원본 도해(AI 보조로 제작).

쉽게 말하면

수 세기 동안 서명되고 날짜가 적힌 종이 기록은 "이것은 실제로 일어났고, 이름이 적힌 한 사람이 그 뒤에 책임을 진다"는 사실의 황금 기준이었습니다. 제약 산업이 디지털로 전환하면서 규제기관은 문제에 부딪혔습니다. 데이터베이스의 한 행은 아무도 모르게 바꾸기가 너무 쉽고, 타이핑한 이름은 서명이 아닙니다. Part 11과 Annex 11은 전자 기록이 좋은 종이처럼 작동하도록, 즉 위조할 수 없고, 시간이 찍히고, 귀속 가능하며, 몰래 지울 수 없도록 만드는 규칙집입니다. 이들은 서류 보관함에서 서버로 이어지는 법적 다리입니다.

이 장에서 다루는 내용

먼저 이 규칙들이 만들어졌는지에서 출발한 다음, Part 11의 핵심 요구사항, 즉 검증, 감사 추적, 사본, 보존, 접근 통제, 그리고 전자 서명을 차례로 살펴봅니다. 유럽의 병행 체계인 Annex 11과, 두 문서를 중심으로 자라난 전 세계적 데이터 무결성 지침도 만나봅니다. **predicate rule(전제 규칙)**과 위험 기반 범위라는 중요한 개념을 풀어냅니다. 마지막으로 이 모든 것을, 실제 데이터 시스템, 즉 히스토리언(historian), LIMS, MES가 실제로 무엇을 해야 하는지로 옮겨봅니다.

법이 존재하는 이유: 디지털 기록을 종이만큼 좋게 만들기

1990년대에 제약 산업은 모든 것을 인쇄하는 일을 그만두고 싶어 했습니다. 종이 배치 기록은 수천 페이지에 달했고, 종이 서명은 공장 곳곳을 물리적으로 쫓아다니며 받아야 했습니다. 무서류화(paperless)는 속도와 더 적은 전사 오류를 약속했습니다. 다만 규제기관이 전자 기록과 전자 서명을 정당한 것으로 받아들일 때에만 그러했습니다.

그래서 1997년 미국 FDA는 21 CFR Part 11, 즉 연방규정집(Code of Federal Regulations) 제21편 제11부를 공표했고, 정식 명칭은 Electronic Records; Electronic Signatures(전자 기록; 전자 서명)입니다[1]. 그 핵심 약속은 동등성입니다. 전자 기록과 적절하게 실행된 전자 서명은 종이 기록 및 손으로 쓴 서명과 똑같이 법적으로 유효할 수 있습니다. 단, 시스템이 일련의 신뢰성 통제 항목을 충족한다는 조건하에서입니다[1]. Part 11은 기준을 낮추지 않았습니다. 오히려 "컴퓨터가 그렇다고 한다"는 말이 의미를 가질 수 있는 조건을 정했습니다.

Part 11의 핵심 요구사항

Part 11은 두 가지 환경을 구분합니다. 폐쇄 시스템(closed system)은 기록에 책임을 지는 바로 그 사람들이 접근을 통제하는 시스템입니다. 예를 들어 검증된 공장 히스토리언이 그렇습니다. 개방 시스템(open system)은 접근을 통제하는 사람들이 그 내용에 책임이 없는 시스템입니다. 공개 인터넷을 가로질러 외부 당사자에게 전달되는 기록을 떠올려 보십시오. 개방 시스템은 주변 환경을 신뢰할 수 없기 때문에 암호화 같은 추가 의무를 집니다[1]. 개방 시스템은 제조 공장 내부에서는 드물지만 그 가장자리에서는 흔합니다. 소프트웨어 공급업체가 운영하는 클라우드 호스팅 LIMS, 또는 위탁 시험 실험실(contract testing laboratory)로 전송되는 안정성 및 출하 시험 데이터가 그 예입니다. 이는 제조사가 기록을 소유하되 그 기록을 담고 있는 인프라는 통제하지 못하는 상황입니다.

폐쇄 시스템에 대해 이 규정은 이제는 익숙해진 일련의 통제 항목을 열거합니다[1].

  • 검증(Validation). 시스템은 검증되어야 합니다. 즉, 유효하지 않거나 변경된 기록을 탐지하는 능력을 포함해, 의도한 대로 신뢰성 있게 작동함을 공식적으로 입증해야 합니다. (이것이 어떻게 이루어지는지에 대해서는 다음 장 전체를 할애합니다.)

  • 감사 추적(Audit trails). 시스템은 안전하고 컴퓨터가 생성한 시간이 찍힌 감사 추적을 유지해야 합니다. 이는 누가 무엇을 언제 했는지, 즉 모든 생성, 변경, 삭제를 이전 값을 덮어쓰지 않고 기록합니다. 옛 값은 계속 보여야 합니다[1]. 감사 추적은 오류를 한 줄로 그어 지우되 원본은 여전히 읽을 수 있게 하는 방식의 디지털 등가물입니다.

  • 정확한 사본(Accurate copies). 시스템은 검사와 검토를 위해 사람이 읽을 수 있는 형태와 전자적 형태 양쪽으로, 기록의 정확하고 완전한 사본을 생성할 수 있어야 합니다[1]. 실무에서 이는 같은 기록을 두 가지 출력으로 내보내는 것을 뜻합니다. 사람이 읽을 수 있는 형태(서명란이 보이는 배치 기록 페이지의 PDF 출력물)와, 근본 값들에 더해 그 메타데이터까지 담는 전체 전자 내보내기(CSV 또는 XML 파일)입니다. 그래야 변환 과정에서 아무것도 손실되지 않습니다. 예를 들어 단일 태그에 대한 히스토리언 내보내기는 값, 그 단위, 그리고 완전한 감사 맥락을 함께 유지합니다.

    timestamp_utc,tag,value,unit,quality,operator,modified
    2026-06-13T08:00:01Z,BR101.Temp.PV,37.02,degC,Good,jdoe,false

    타임스탬프, quality 플래그, 또는 감사 추적 링크를 누락하는 사본은, 아무리 보기 좋아도 "정확하고 완전한" 사본이 아닙니다.

  • 보존 및 검색(Retention and retrieval). 기록은 요구되는 보존 기간 내내 보호되고 검색 가능해야 합니다. 많은 GMP(Good Manufacturing Practice, 우수제조관리기준) 기록의 경우 이는 수년 또는 수십 년을 의미합니다[1].

  • 접근 통제(Access controls). 시스템은 고유한 로그인을 통해 접근을 승인된 개인으로 제한해, 행위가 실제 사람에게로 추적될 수 있게 해야 합니다[1].

그다음으로 전자 서명(electronic signatures)이 옵니다. Part 11은 타이핑하고 클릭하는 서명이 법적으로 구속력을 가질 수 있다고 말하지만, 안전장치가 있을 때에만 그렇습니다[1].

  • 각 서명은 한 개인에게 고유해야 하며 결코 재사용되어서는 안 됩니다.
  • 비생체 서명은 최소 두 가지 구성요소를 사용해야 합니다. 일반적으로 사용자 ID와 개인 비밀번호입니다. (하나의 연속된 로그인 세션 안에서는 첫 서명만 두 구성요소를 모두 필요로 하고, 이후의 각 서명은 사용자에게 고유한 구성요소를 최소 하나만 필요로 합니다.)
  • 서명은 그 기록에 영구적으로 연결되어야 하며, 그래야 복사, 잘라내기, 또는 다른 기록으로의 이전이 불가능합니다.
  • 서명된 기록은 사람이 읽을 수 있는 형태로 서명자의 인쇄된 이름, 날짜와 시간, 그리고 서명의 의미(예: 검토함, 승인함, 작성함)를 표시해야 합니다.

이 마지막 항목, 즉 서명-기록 연결(signature-to-record linking)이야말로 서명이 "떼어내져" 다른 문서에 붙는 것을 막는 장치이며, 이는 서명 위조의 디지털 판본입니다.

신뢰할 수 있는 전자 기록은 신원, 승인, 감사 추적, 서명, 결합, 그리고 보호된 보존을 거칩니다. 이것이 Part 11이 요구하는 연쇄입니다. 출처: 저자 작성 도해, 21 CFR Part 11에 근거함.

동료 심사를 거친 한 사례는 이것이 추상적이지 않음을 보여줍니다. 그 무대는 GMP 제조가 아니라 임상 연구 문서화입니다. 즉 바이오의약품 제조 사례 연구가 아니라 유용한 선례입니다. 그러나 공학은 동일합니다. 임상 문서화 시스템을 구축하던 연구자들은 자신들의 전자 시스템을 Part 11에 부합하게 만들기 위해 바로 이러한 기능들, 즉 고유 로그인, 변조가 드러나는 감사 추적, 디지털 서명 안전장치, 공식 검증, 그리고 보호된 백업을 구현했습니다[9]. 제조 히스토리언이나 LIMS가 제공해야 하는 것도 바로 이 동일한 통제 항목의 집합입니다.

유럽의 병행 체계: GMP Annex 11

유럽연합은 조금 다른 길로 같은 목적지에 도달합니다. EU GMP 가이드의 Annex 11, 즉 Computerised Systems(전산화 시스템)는 규제 대상 제조에 사용되는 모든 전산화 시스템에 대한 EU의 기대사항을 제시합니다[3]. 이는 위험 관리, 공급자 및 서비스 제공자의 책임, 검증, 데이터 보안 및 무결성, 감사 추적, 전자 서명, 그리고 업무 연속성을 다룹니다[3].

차이는 대부분 강조점과 구조에 있습니다. Part 11은 기록과 서명 그 자체에 빈틈없이 초점을 맞춘 규정(regulation)입니다. Annex 11은 EU GMP 가이드인 EudraLex 제4권 안의 가이드라인(guideline)으로 구성되어, 전산화 시스템을 더 넓은 GMP 생애주기 안에 위치시키고 위험 관리와, 통제의 깊이가 환자 안전, 제품 품질, 데이터 무결성에 대한 시스템의 영향에 맞춰져야 한다는 발상에 크게 의존합니다[3]. 그렇다고 "가이드라인"을 "선택사항"으로 오해하지 마십시오. Annex 11은 법적 구속력을 가진 EU GMP 요구사항의 일부로 집행되므로, 이를 충족하지 못하면 GMP 실사에 불합격하고 시장 접근권을 잃습니다. 실무에서는 대서양 양쪽에서 판매하는 회사가 둘 다 만족시키도록 하나의 시스템을 설계합니다. 겹치는 부분이 크기 때문입니다.

참고

Annex 11은 문서화를 규율하는 EU GMP의 제4장(Chapter 4)에 명시적으로 연결되어 있습니다. 이 연결 고리는 우리가 다음에 만날 핵심적인 미국 개념의 유럽판 메아리입니다. 즉, 이 컴퓨터 규칙들은 애초에 좋은 기록을 유지해야 한다는 근본적 요구사항 위에 얹혀 있습니다.

데이터 무결성의 중첩

Part 11과 Annex 11은 홀로 서 있지 않습니다. 산업 전반에 걸쳐 조작되고 누락된 데이터를 드러낸 일련의 실사 적발 이후, 전 세계 규제기관은 같은 기대사항을 지난 장의 ALCOA+ 언어로 구체화한 데이터 무결성 지침을 내놓았습니다. 영국 MHRA는 GxP Data Integrity Guidance를 발간하여 ALCOA(+) 원칙과 그것을 보호하는 통제 항목, 즉 감사 추적, 접근 통제, 생애주기 관리를 정의했습니다[5]. 국제 실사 기구인 PIC/S는 PI 041-1을 발행하여 여러 규제기관에 걸쳐 위험 기반 데이터 거버넌스 기대사항을 조화시켰습니다[6]. WHO는 종이와 전자 시스템 양쪽에 대한 우수 데이터 및 기록 관리 관행을 제시했습니다[8]. 그리고 FDA 자체의 Data Integrity and CGMP 질의응답 지침은 감사 추적 검토, 보존, 접근 통제에 대한 현재의 기대사항을 명시했습니다[7].

이 모든 문서를 관통하는 메시지는 일관됩니다. 전자 기록은 누가 그것을 만들었는지, 그것이 변경되지 않았음(또는 모든 변경이 보임)을, 그리고 법이 요구하는 기간 내내 완전하고 검색 가능함을 증명할 수 있을 때에만 신뢰할 수 있습니다.

predicate rule(전제 규칙)과 위험 기반 범위

이 분야에 처음 발을 들인 거의 모든 사람을 헷갈리게 하는 지점이 하나 있습니다. Part 11은 기록을 유지해야 한다는 요구사항을 만들어내지 않습니다. 그 요구사항은 근본적인 GMP 규정, 즉 FDA가 **predicate rule(전제 규칙)**이라 부르는 것에서 나옵니다[2]. predicate rule은 "배치 온도를 기록해야 한다" 또는 "적격 인원이 출하를 승인해야 한다"고 말하는 현실 세계의 법입니다. 미국 의약품 GMP에서 이들은 CFR에 들어 있습니다. 21 CFR 211.68은 자동, 기계, 전자 장비를 규율하며 그러한 시스템이 통제되고 점검될 것을 요구하고, 21 CFR 211.192는 모든 배치의 생산 및 통제 기록이 출하 전에 품질 관리 부서에 의해 검토 및 승인될 것을 요구합니다. 특히 **21 CFR 211.68(a)**는 자동, 기계, 전자 장비가 정기적으로 교정, 점검 또는 확인되고 그러한 점검의 서면 기록이 유지될 것을 요구하며, 21 CFR 211.182는 주요 세척, 유지보수, 사용에 관한 개별 장비 로그를 요구하는데, 바로 이 때문에 감사 추적과 장비 기록은 단지 공학적 편의가 아니라 법적 무게를 갖습니다. Part 11은 오직 그 기록을 어떻게 전자적으로 유지하고 서명할 수 있는지만 규율합니다. predicate rule상의 요구사항이 없으면 Part 11 의무도 없습니다.

이것이 중요한 이유는 역사 때문입니다. Part 11이 처음 등장했을 때 산업계는 이를 너무 넓게 읽어서, 모든 스프레드시트, 모든 타임스탬프에까지 적용한 나머지 규정 준수가 마비될 만큼 비용이 많이 들게 되었습니다. 2003년 FDA는 Scope and Application(범위 및 적용) 지침을 발표하여 해석을 좁히고, 네 가지 핵심 요구사항 영역에 대해 집행 재량(enforcement discretion)을 행사하겠다고 선언했습니다[2].

  • Part 11 시스템의 검증;
  • 감사 추적(특히 Part 11의 감사 추적 조항);
  • 기록 보존; 그리고
  • 기록의 사본 생성.

(이 지침은 또한 규칙 시행 이전부터 운영된 레거시 시스템을 별도로 제쳐 두었습니다.) 이 기관은 위험 기반 접근법(risk-based approach)을 채택했습니다. 모든 것에 동등하게 최대한의 엄격함을 적용하기보다, 부정확하거나 잃어버린 기록이 환자에게 실제로 해를 끼치거나 제품 품질을 훼손할 수 있는 곳에 통제를 집중하는 것입니다[2]. 노력은 위험을 따라야 합니다.

주의

"집행 재량"은 빠져나갈 구멍이 아닙니다. FDA는 범위를 재검토하는 동안 그 네 가지 Part 11 조항을 Part 11 요구사항으로서 집행하지 않기로 선택했을 뿐입니다[2]. 그러나 predicate rule과 현재의 데이터 무결성 지침은 여전히 같은 통제를 요구합니다. 감사 추적이 가장 분명한 예입니다. Part 11의 감사 추적 조항이 재량에 속하더라도, predicate rule(예: 21 CFR 211.68과 211.192)과 현대 데이터 무결성 지침은 여전히 이를 요구하므로, 감사 추적을 건너뛰는 것은 규제 적발로 가는 지름길입니다.

이 위험 기반 철학은 바로 산업 프레임워크 GAMP 5가 실행으로 옮기는 것입니다. 비판적 사고(critical thinking)를 사용해 검증 및 무결성 통제를 시스템의 위험과 복잡성에 맞춰 조정하는 것이지요[4]. 이것이 다음 장으로 이어지는 다리입니다.

왜 중요한가

데이터 시스템을 구축하거나 운영하는 누구에게든, Part 11과 Annex 11은 막연한 선의를 구체적인 명세로 바꿔놓습니다. 부합하는 시스템은 단지 데이터를 저장하는 데 그쳐서는 안 됩니다. 그것은 수년 뒤 실사관에게 방어될 수 있는 방식으로 데이터를 저장해야 합니다. 이 단 하나의 요구사항이 모든 설계 결정으로 폭포처럼 번집니다. 공유 로그인이 아닌 고유 사용자 계정, 결코 끌 수 없는 감사 추적, 신뢰할 수 있는 시계에서 나온 타임스탬프, 그 자체가 보호되고 테스트되는 백업, 그리고 자신이 승인한 기록에 용접되듯 결합된 서명입니다. 이것들을 잘못 다루면 데이터는, 과학적으로 아무리 완벽하더라도, 법적으로 무가치할 수 있고, 배치는 결코 환자에게 닿지 못할 수 있습니다.

실제 현장에서

현대 바이오 제조 공장에서는 세 가지 시스템 유형이 규제의 무게를 짊어집니다. 히스토리언(historian)은 pH, 온도, 용존 산소 같은 모든 센서 측정값을 초 단위로 기록하는 데이터베이스입니다. AVEVA PI System(구 OSIsoft PI)과 AspenTech InfoPlus.21이 흔히 쓰이는 상용 히스토리언이며, AVEVA PI의 이벤트 프레임과 두 시스템의 감사 추적 기능이 바로 누가 언제 값을 확인하거나 변경했는지를 포착합니다. LIMS(Laboratory Information Management System, 실험실 정보 관리 시스템)는 시료와 시험 결과를 추적합니다. LabVantage LIMS와 Thermo Scientific SampleManager 같은 제품은 Part 11 기능, 즉 고유 로그인, 검증된 배포 환경에서 항상 켜지도록 구성되는 감사 추적, 그리고 전자 서명 워크플로우를 갖춘 것으로 마케팅됩니다. MES(Manufacturing Execution System, 제조 실행 시스템)는 전자 배치 기록을 운영하고 레시피의 단계를 강제합니다. Siemens Opcenter Execution Pharma(구 SIMATIC IT eBR)와 Rockwell FactoryTalk PharmaSuite 같은 시스템은 Part 11 전자 서명과, 각 단계를 그 단계를 수행한 작업자에게 연결하는 실행 완료 배치 기록(as-executed batch record)을 지원하는 것으로 공급업체가 내세웁니다. 각각은 Part 11과 Annex 11 통제를 기본 내장으로 제공해야 합니다. 잠긴 접근, 변경 불가능한 감사 추적, 각 승인에 결합된 전자 서명, 그리고 요청 시 정확한 사본 말입니다[1][3].

이것이 또한, NIIMBL이 지원하는 실시간 실험실 데이터 통합 노력 같은 상호운용성 작업이 규정 준수를 무시할 수 없는 이유입니다. 데이터가 기기에서 표준 인터페이스를 가로질러, 즉 실시간 공정 데이터에는 OPC UA, 분석 결과를 담는 ASTM XML 형식인 AnIML을 실험실 기기 통신 표준인 SiLA로 전송, 그리고 공장 현장과 비즈니스 계층 사이에는 ISA-95(B2MML) 메시지를 거쳐 히스토리언으로, 그리고 더 나아가 분석으로 자동으로 흐를 때, 모든 단계가 귀속과 감사 추적을 보존해야 합니다. 누가 무엇을 언제 측정했고 그것이 바뀌었는지를 놓치는 표준 기반 파이프라인은 단지 형편없는 공학에 그치지 않습니다. 그것은 Part 11과 Annex 11이 보호하기 위해 존재하는 연쇄를 끊습니다. 실사관을 만족시키는 바로 그 감사 추적이, 통합된 데이터를 하류에서 안전하게 재사용할 수 있게 만드는 것입니다.

핵심 용어

  • 21 CFR Part 11 — 지정된 통제하에서 전자 기록과 서명을 종이와 법적으로 동등하게 만드는 미국 FDA 규정.
  • EU GMP Annex 11 — EudraLex 제4권 안의 EU 전산화 시스템 가이드라인. Part 11의 EU 병행 체계이며, 구속력 있는 GMP 요구사항의 일부로 집행됨.
  • 폐쇄/개방 시스템(Closed / open system) — 기록에 책임을 지는 사람들이 통제하는 시스템(폐쇄) 대 외부인이 접근을 통제하는 시스템(개방). 후자는 추가 보호가 필요함.
  • 감사 추적(Audit trail) — 누가 기록을 생성, 변경, 삭제했는지에 대한 안전하고 시간이 찍힌 로그로, 옛 값을 계속 보이게 유지함.
  • 전자 서명(Electronic signature) — 고유하고, 다중 구성요소를 갖추며, 자신의 기록에 영구적으로 연결될 때 법적으로 구속력을 갖는 컴퓨터 기반 서명 방식.
  • 서명-기록 연결(Signature-to-record linking) — 서명이 다른 기록에 복사될 수 없어야 한다는 요구사항.
  • predicate rule(전제 규칙) — 기록을 유지해야 한다는 근본적 GMP 요구사항. Part 11은 그것을 전자적으로 어떻게 유지할 수 있는지만 규율함.
  • 집행 재량(Enforcement discretion) — 위험 기반 범위를 적용하면서 특정 Part 11 세부사항에 대해 조치하지 않기로 한 FDA의 선택.
  • 위험 기반 접근법(Risk-based approach) — 기록 또는 시스템의 환자 안전 및 품질 영향에 맞춰 통제를 조정하는 것.
  • 히스토리언/LIMS/MES(Historian / LIMS / MES) — 이러한 통제를 기본 내장으로 구현해야 하는 공장 데이터 시스템.

이 다음은

위에서 한 단어가 얼마나 자주 등장했는지 주목해 보십시오. 바로 검증입니다. 규제 대상 데이터 시스템은 누군가가 그 기록이나 서명을 신뢰하기 전에 목적에 적합함이 입증되어야 합니다. 그 입증이 어떻게 구축되는지, 즉 전산화 시스템 검증(Computerized System Validation), 소프트웨어 범주와 V-모델을 갖춘 GAMP 5 위험 기반 프레임워크, 그리고 더 군더더기 없고 비판적 사고에 기반한 철학인 **컴퓨터 소프트웨어 보증(Computer Software Assurance, CSA)**으로의 산업계의 전환이 바로 다음 장 전산화 시스템 검증: GAMP 5와 CSA로의 이행의 주제입니다.