EU GMP Annex 11 개정안은 2025년 7월 7일 유럽연합 집행위원회(EC)가 공개한 초안으로, 전자 시스템의 관리 및 데이터 무결성을 강화하기 위한 전면적인 구조 개편이 이루어진 문서다. 의견 제출 기한은 2025년 10월 7일까지였으며, 현재는 제출된 업계 및 전문가 의견을 검토하는 단계에 있다. 최종 개정본은 조만간 발표될 예정으로, 이는 제약산업 전반의 디지털 전환과 품질관리 체계의 근본적인 변화를 반영하는 중요한 이정표가 될 것으로 평가된다.
이번 Annex 11 개정안의 가장 두드러진 특징은 기존 문서의 구조적 재편성과 범위의 확장이다. 현행 Annex 11이 2011년 6월 30일 시행된 이래 14년 만에 개정되는 만큼, 단순한 수정이 아닌 전면 개편 수준의 변화가 이루어졌다. 기존 5페이지 분량이었던 문서는 19페이지로 늘어났으며, 내용의 깊이와 폭이 동시에 확대되었다. 특히 PQS(Pharmaceutical Quality System)와 QRM(Quality Risk Management)이 독립된 챕터로 분리되면서, 품질시스템 전반에 데이터 및 전자 시스템 관리가 통합적으로 반영되었다는 점이 핵심 변화다. 용어 정의(Glossary)도 기존 8개에서 22개로 늘어나, 최신 기술 및 디지털 환경을 반영한 새로운 개념들이 대거 포함되었다.
새로운 Annex 11 Draft는 총 17개의 챕터와 부록(Glossary)으로 구성되어 있다. 세부적으로는 범위(Scope)와 원칙(Principles), 의약품 품질 시스템(Pharmaceutical Quality System), 위험 관리(Risk Management), 인력 및 교육(Personnel and Training), 시스템 요구사항(System Requirements), 공급업체 및 서비스 관리(Supplier and Service Management), 알람(Alarms), 적격성평가 및 밸리데이션(Qualification and Validation), 데이터 처리(Handling of Data), 식별 및 접근 관리(Identity and Access Management), 감사 추적(Audit Trails), 전자서명(Electronic Signatures), 정기 검토(Periodic Review), 보안(Security), 백업(Backup), 아카이브(Archiving), 그리고 용어 정의(Glossary)로 구성된다.
이 중 특히 중요하게 다뤄지는 상위 5개 주제는 Security, Identity and Access Management, Qualification and Validation, Audit Trails, Supplier and Service Management로, 이는 현행 Annex 11에서 Validation이 중심이었던 구성에서 보안(Security)과 접근관리, 데이터 무결성에 대한 초점으로 무게중심이 옮겨진 것을 보여준다. 이는 클라우드, 원격접속, AI 기반 분석시스템 등 새로운 디지털 인프라의 확산과 함께, 사이버 보안과 데이터 완전성이 GMP 품질관리의 핵심 축으로 자리 잡고 있음을 반영한다.
첫 번째 주제인 Security는 단순한 시스템 보호 개념을 넘어, 지속적 개선(Continuous Improvement) 체계와 사이버 위협 대응 역량을 강조한다. 규제 대상 사용자는 새로운 보안 위협에 대한 최신 정보를 유지하고, 시스템 업데이트와 방화벽 검토, 정기적인 침투 테스트를 통해 취약점을 선제적으로 차단해야 한다. 물리적 보안(Physical Security) 또한 필수 요소로, GMP 활동에 사용되는 서버 및 장비는 다중 인증과 출입 통제를 통해 보호되어야 하며, 비인가 접근 가능성을 최소화해야 한다. 특히 운영체제 및 플랫폼의 적시 업데이트, 보안 패치 적용, 비활성화된 USB 포트 관리 등은 Annex 11 개정안에서 새롭게 구체화된 항목이다.
두 번째 주제인 Identity and Access Management는 사용자 인증 및 접근 권한 관리의 중요성을 강화한다. 비밀번호의 기밀성과 강도, 계정 자동 잠금, 비활성 로그아웃, 접근 로그의 자동 기록 등 세부적인 보안 절차가 명시되었다. 또한 다단계 인증(MFA) 도입이 필수화되며, 접근 권한은 최소 권한 원칙(Least privilege principle)과 업무 분리(segregation of duties)에 따라 관리되어야 한다. 이는 단순히 계정 관리 수준을 넘어, 시스템 내에서 발생할 수 있는 내부 위협을 예방하고 데이터 접근의 투명성을 확보하기 위한 조치다.
세 번째로, Qualification and Validation은 여전히 Annex 11의 핵심 축으로 남아 있다. 다만 기존의 기술적 중심 밸리데이션에서 벗어나 품질 위험 관리(QRM) 원칙에 기반한 통합 접근이 강조된다. 시스템의 적격성평가 및 밸리데이션 수준은 합리적이고 문서화된 위험 평가를 통해 결정되며, GMP 핵심 기능(접근 권한 관리, 오류 처리, 알람, 감사 추적, 백업 등)에 대한 테스트가 필수적이다. 사용 개시 전 모든 밸리데이션 절차가 완료되어야 하며, 미해결된 일탈 사항이 존재할 경우에도 명확한 조건부 승인 절차를 거쳐야 한다.
| Clause | Subject | Annex 11 Clause(s)/Section(s) |
| 1 | Incorporation of the EMA Annex 11 Q&A | N/A |
| 2 |
Data in motion / data at rest a | (10.1, 10.2, 10.3) 16 and 17 |
| Configuration hardening / technical controls | Not discussed | |
| 3 | Digitalization | Not discussed |
| 4 | No increase in risk when replacing a system | 2.8 |
| 5 | Reference to ICH Q9(R1) | 4.2 |
| 6 | Cloud service providers | Not discussed |
| 7 | Service provider agreements | 7.5 |
| Documentation available for inspections | 7.4 and 7.5 | |
| 8 | Commercial off the shelf (COTS) software | 6.1 (partially) |
| 9 | Defining qualification and validation | Glossary (poor) |
| 10 | Focus on testing GMP functionality | 9.6 |
| 11 | User requirements and traceability | 6.1, 6.4, 6.5, 9.5 |
| 12 | Agile software development | Not discussed (6.1?) |
| 13 | Definition of critical systems and critical datab | Not discussed |
| 14 | Protect GMP systems, networks and infrastructure and data | 15.1–15.20 and 16.1–16.5 |
| 15 | Testing data / archived data restores | 16.6, 17.4 and 14.2 |
| 16 | Backup expectations | 16.1– 16.5 |
| 17 | Electronic copies of data | 12.9 |
| 18–24 | Audit trails and alarms | 12.1, 12.2,12.3, 12.7, 12.8 and 8 |
| 25 | Configuration review | 14.1 and (6.6 partially) |
| 26 | System and data confidentiality, integrity and availability | 15.1 |
| 27 | Additional security controls | 15.1–15.20 |
| 28–30 | User authentication and access privileges | 11.2, 11.3, 11.10 |
| 31 | Validated archive processc | 17.1–17.5 |
| 32 | AI and ML(machine learning)d | Not discussed |
| 33 | Consider input from FDA draft computer software assurance (CSA) Guidance | Not discussed |
a For disposal of records see chapter 4.79
b Incorporated in chapter 4.13
c Also considered in chapter 4.76
d See Annex 22 (out of scope of this article)
2025.06.03 - [COFFEEPHARM QCLAB ] - About Us
About Us
커피 한 잔에도 믿음이 필요하다고 느낀 적 있는가. 예쁜 카페, 감성적인 분위기, 고급 원두라는 말은 흔하다. 하지만 정말 이 커피가 어디서, 어떻게 만들어졌고, 내가 마신 이 맛이 다음에 와도
qclab.kr
Audit Trails는 Annex 11 개정안에서 데이터 무결성(Data Integrity)의 실질적 구현 수단으로 재정의되었다. 모든 수동 사용자 상호작용은 자동으로 기록되어야 하며, 데이터 변경 시 즉시 변경 사유를 사용자에게 요청하고 이를 로그에 남겨야 한다. 감사 추적 데이터는 단순 저장이 아닌 실시간 기록이 원칙이며, GMP 위반 가능성을 탐지할 수 있는 검토 절차가 요구된다. 또한 고정 파일이나 잠금 파일 형태는 금지되고, 데이터는 검색 및 정렬이 가능한 전자 사본 형태로 유지되어야 한다.
마지막으로 Supplier and Service Management는 규제 대상 사용자의 공급업체 및 서비스 제공자 관리 체계를 명확히 정의한다. 계약 시 수행할 활동, 제공할 문서, 감독 절차, 보고 주기, 문제 해결 프로세스 등이 구체적으로 명시되며, Exit Strategy(종료 전략)와 신규 시스템 버전 출시 절차까지 포함된다. 이는 공급업체 감사 및 성과 평가를 통해 규제 요구사항을 지속적으로 충족시키고, 외부 리스크를 최소화하기 위한 새로운 프레임워크다.
한편, Annex 11 개정안과 동시에 공개된 Chapter 4 Draft와 Annex 22 Draft도 함께 검토되고 있다. Chapter 4는 기존 대비 대폭 확장되어 데이터 거버넌스(Data Governance), 문서화 요건, 문서 보존, 하이브리드 시스템 등 데이터 무결성 원칙을 본격적으로 포함하였다. Annex 22 Draft는 AI 시스템의 검증 및 신뢰성 확보를 위한 가이드라인으로, Test Data, Explainability, Confidence, Operation 등 새로운 개념을 다루고 있다.
결국 Annex 11 개정안은 제약산업의 디지털 품질관리 환경이 한 단계 진화하고 있음을 의미한다. 전자 시스템이 품질 보증의 중심축으로 자리 잡는 현시점에서, 보안과 데이터 무결성은 단순한 IT 이슈가 아닌 GMP의 본질적 요구사항으로 자리 잡고 있다. 이번 개정은 단기적으로는 규제 준수 부담을 높이겠지만, 장기적으로는 시스템 신뢰성 강화와 품질 일관성 확보를 통해 산업 전반의 경쟁력을 향상시키는 방향으로 작용할 것이다.
'품질관리(Quality Control) > SOP·가이드라인' 카테고리의 다른 글
| GMP 제약회사 원료 샘플링 방법 규정 리뷰 (2) | 2025.09.22 |
|---|---|
| 제약회사 GMP 4대 기준서 종결 (0) | 2025.04.18 |
| 의약품 금속불순물의 잠재적 기원 GMP STUDY (0) | 2025.04.10 |
| 제약회사 교정 Calibration의 이해와 실행 기사 스캔본 공유 (2) | 2025.02.23 |
| 방법의 유효화(Method validation) (0) | 2025.01.30 |