21 CFR Part 11 준수: 실제로 요구되는 사항

주요 내용

• 21 CFR Part 11 준수는 기술 자체에서 비롯되는 것이 아니라, 시스템에 대한 통제 조치(검증, 접근 통제, 감사 추적)를 통해 이루어집니다. 어떤 제품도 “본질적으로” 규정을 준수하는 것은 아닙니다.
• 이 규칙은 한 가지 원칙으로 요약됩니다. 즉, 기록에 대한 모든 조치에는 이름이 있고, 타임스탬프가 있으며, 사유가 있어야 한다는 것입니다. 비록 서면 기록이 없더라도 마찬가지입니다.
• 제11부는 HIPAA가 아닙니다. HIPAA는 건강 정보의 개인정보 보호 및 보안을 규율하는 반면, 제11부는 FDA가 규제하는 기록 및 서명의 무결성과 추적 가능성을 규율합니다. 기업은 둘 중 하나만 충족해도 됩니다.
• 제11부는 1997년부터 시행되어 왔으며, 제약, 생명공학, 의료기기 및 임상 기관에 있어 여전히 핵심적인 요구 사항으로 남아 있습니다.

​

21 CFR Part 11 준수는 특정 기술 자체의 속성이 아닙니다. 이는 전자 기록의 신뢰성을 입증하는 일련의 통제 조치, 즉 검증된 시스템, 접근 통제, 그리고 모든 작업을 특정 담당자, 타임스탬프 및 사유와 연결하는 감사 추적을 의미합니다. FDA(미국 식품의약국)는 제품에 대해 Part 11 준수 인증을 부여하지 않습니다. 시스템을 사용하는 조직이 해당 시스템에 대한 보안 조치를 책임져야 하기 때문에, 두 회사가 동일한 소프트웨어를 사용하더라도 그 중 한 회사만 규정을 준수하는 경우가 발생할 수 있습니다.

​

21 CFR Part 11이란 무엇인가요?

21 CFR Part 11은 제약, 생명공학, 의료기기, 임상 연구 등 FDA 규제 대상 산업 분야에서 전자 기록 및 전자 서명을 어떻게 관리해야 하는지를 규정하는 FDA 규정입니다. 전자 기록이란 전자 형식으로 생성, 수정, 유지 관리, 보관, 검색 또는 전송되는 모든 데이터를 말하며, 전자 서명은 자필 서명과 동등한 전자적 서명을 의미합니다. 이 규정의 목표는 간단히 말해, 전자 기록과 서명을 종이와 잉크로 작성된 것만큼 신뢰할 수 있고 추적 가능하게 만드는 것입니다. 이 규정은 1997년 3월 20일에 공고되어 1997년 8월 20일에 발효되었으며, 거의 30년이 지난 지금도 여전히 유효하게 시행되고 있습니다. eCFR에서 21 CFR Part 11의 전문을 확인할 수 있습니다.

​

21 CFR Part 11 규정 준수는 실제로 무엇을 요구하나요?

이 규칙은 세 가지 하위 항목으로 구성되어 있지만, 실제 21 CFR Part 11의 요구 사항은 간단한 체크리스트로 요약될 수 있습니다. 이를 기억하는 가장 명확한 방법은 다음과 같습니다 . 서면 기록이 없는 경우라도 모든 작업에는 이름, 타임스탬프, 그리고 사유가 있어야 합니다. 감사 추적 ( audit trail )이란 이를 가능하게 하는 모든 생성, 수정, 삭제 작업에 대해 타임스탬프가 찍히고 사용자가 명시된 기록을 말합니다.

​

​

21 CFR Part 11은 누구에게 적용됩니까?

제11부는 필수 기록을 전자적으로 보관하거나 자필 서명 대신 전자 서명을 사용하는 FDA 규제 대상 기관에 적용됩니다. 적용 범위는 부서가 아닌 기록에 따라 결정됩니다. 즉, 규제 대상 기관이 FDA 규제 대상 전자 문서를 생성, 저장 또는 전송하는 순간, 해당 문서를 처리하는 시스템이 적용 범위에 포함됩니다. 여기에는 전송 시스템도 포함되므로, Fax.Plus 같은 보안 온라인 팩스 서비스는 규제 대상 문서를 전송할 때 감사 추적 및 접근 제어 기능을 갖추고 운영되어야 Fax.Plus . FDA는 범위 및 적용 지침을 통해 이 규칙의 적용 범위가 얼마나 광범위한지 설명하고 있습니다.

​

21 CFR Part 11 대 HIPAA: 차이점은 무엇인가?

이 두 가지는 종종 혼동되곤 하지만, 그 차이를 명확히 하는 것이 중요합니다. HIPAA(건강보험 이동성 및 책임법)는 적용 대상 기관이 취급하는 개인 식별이 가능한 건강 데이터인 ‘보호 대상 건강 정보(PHI)’의 개인정보 보호 및 보안을 보장합니다. 21 CFR Part 11은 FDA의 규제를 받는 전자 기록 및 서명의 무결성과 추적 가능성을 보장합니다. HIPAA의 대표적인 수단 중 하나는 Business 계약(BAA)으로, 이는 공급업체가 귀사를 대신하여 PHI를 처리할 수 있도록 허용하는 계약입니다. 이 두 규정은 서로 다른 문제를 해결하며, 시스템은 한 가지 요건만 충족해도 다른 요건을 충족하지 않아도 됩니다.

​

​

21 CFR Part 11 규정 준수를 위한 접근 방법

규정 준수를 단순히 구매하는 ‘라벨’이 아니라, 입증할 수 있는 일련의 통제 수단으로 간주하십시오. 실제로 이는 공급업체 문서, 접근 통제 및 고유한 사용자 계정, 완전한 감사 추적 기록, 고유하고 검증된 전자 서명, 그리고 명확히 정의된 기록 보존 방침을 갖춘 검증된 시스템을 의미합니다 . 주장을 입증할 수 없는 경우에는 과장하기보다는 표현을 완화하십시오. 규제 당국은 귀사가 주장하는 내용이 아니라, 실제로 보여줄 수 있는 내용을 평가하기 때문입니다.

​

자주 묻는 질문

​

21 CFR Part 11은 언제 발효되었나요?

이 최종 규정은 1997년에 발표되었으며, 1997년 8월 20일에 발효되었습니다. 이 규정은 현재까지도 유효하며, FDA의 규제를 받는 전자 기록 및 전자 서명에 계속해서 적용되고 있습니다.

​

21 CFR Part 11은 누구에게 적용됩니까?

이는 필수 기록을 전자적으로 작성, 수정, 보관, 보관, 검색 또는 전송하거나, 자필 서명 대신 전자 서명을 사용하는 FDA 규제 대상 기관(제약, 바이오테크, 의료기기, 임상 운영 등)에 적용됩니다.

​

21 CFR Part 11의 목적은 무엇입니까?

그 목적은 전자 기록과 서명을 종이 기록만큼 신뢰할 수 있게 하여, FDA의 규제를 받는 기록이 정확하고, 출처를 확인할 수 있으며, 변조 여부를 쉽게 파악할 수 있도록 하는 데 있습니다.

​

출고 시점에서 “21 CFR Part 11을 준수하는” 제품이 있나요?

아닙니다. 규정 준수는 제품 자체에서 비롯되는 것이 아니라, 통제 절차와 시스템의 검증 및 운영 방식에서 비롯됩니다. 공급업체가 Part 11을 지원할 수는 있지만, 규정 준수를 입증할 책임은 해당 시스템을 사용하는 조직에 있습니다.

​

전자 서명이 21 CFR Part 11을 준수할 수 있습니까?

전자 서명은 각 서명이 한 사람에게만 고유하고, 신원이 확인되며(대개 2단계 인증을 통해), 서명자의 이름, 날짜 및 시간, 서명 사유가 기록될 경우 파트 11을 준수할 수 있습니다. 특정 도구가 요건을 충족하는지 여부는 해당 도구의 구성 및 검증 방식에 따라 달라집니다.

​

21 CFR Part 11 규정에 따라 클라우드 소프트웨어를 사용할 수 있습니까?

네. 시스템에 대한 검증 절차가 완료되고, 접근 권한이 통제되며, 감사 추적이 완벽하게 이루어지고, 공급업체가 귀사의 검증 작업을 뒷받침하는 문서를 제공하는 경우, 클라우드 소프트웨어를 Part 11 규정에 따라 사용할 수 있습니다.