Skip to main content
가이드·18분 읽기·

21 CFR 11 부분 및 재료 인증서: 규정 준수 요구사항 설명

빠른 답변

Quick Answer

21 CFR 11 부분은 FDA 규제 제조에 사용되는 전자 기록(재료 테스트 인증서 포함)이 진정성, 무결성 및 기밀성에 대한 특정 표준을 충족해야 함을 요구합니다. 재료 인증서의 경우, 이는 호환되는 전자 서명, 모든 기록 수정에 대한 감사 추적, 접근 제어 및 검증된 시스템을 의미합니다. 규정 불준수는 FDA 검사 중 규제 노출을 초래합니다.

조직이 제약 또는 생명공학 제조용 장비(가압 용기, 생물반응기, 배관 시스템, 공정 장비)를 제조하는 경우, 고객은 FDA 감시 하에 운영됩니다. 이러한 감시는 장비 공급업체의 문서 관행으로 확대되며, 특히 재료 기록이 배치 기록 또는 장비 적격성 패키지에 통합될 때입니다.

21 CFR 11 부분이 재료 인증서 관리 시스템에 적용되는 위치를 이해하는 것은 선택 사항이 아닙니다. FDA 규제 공급망에 들어가는 모든 품질 문서를 캡처, 저장, 승인 및 전송하는 방법에 영향을 줍니다.


21 CFR 11 부분이란?

연방 규정 21편 11부분(Title 21 of the Code of Federal Regulations, Part 11)은 전자 기록 및 전자 서명이 종이 기록 및 손글씨 서명과 동등한 것으로 간주되는 조건을 정립하는 FDA 규정입니다.

1997년에 종이 기반 품질 시스템에서 전자 시스템으로의 전환을 수용하기 위해 도입되었습니다. 그러나 전자 기록이 변조, 위조 또는 오귀속될 수 없음을 보장하기 위해 엄격한 요구사항을 적용합니다.

21 CFR 11 부분은 다음의 경우에 적용됩니다:

  • 기록이 다른 FDA 규정(예: 21 CFR 210/211 부분의 cGMP)에 의해 요구되는 경우
  • 조직이 종이 대신 전자 기록을 사용하기로 선택한 경우

제약 장비 제조의 재료 인증서 관리의 경우, 규제 제조업체의 문서 시스템의 일부로 인증서가 전자적으로 유지되고 서명될 때 규정이 관련됩니다.


어떤 재료 인증서 기록이 21 CFR 11 부분의 영향을 받습니까?

시스템의 모든 인증서가 11 부분의 대상이 되는 것은 아닙니다. 다음의 경우만 해당됩니다:

  1. 다른 FDA 규정에 의해 요구되는 기록 - 예를 들어, 21 CFR 11 부분(약품의 현재 우수 제조 관행) 하에서 운영하는 시설에서 사용되는 장비의 재료 추적 기록

  2. 고객의 품질 시스템에 통합된 기록 - MTC 또는 CoC가 장치 이력 기록(DHR), 배치 제조 기록(BMR) 또는 장비 적격성(IQ/OQ/PQ) 패키지의 일부가 되는 경우

  3. 규제 환경에서의 전자 서명 기록 - 품질 관리자 또는 권한이 있는 승인자가 인증서에 전자적으로 서명하고 해당 서명이 문서 기록인 경우

제약 시설의 표준 구조 또는 비공정 접촉 응용 분야에 대한 재료 인증서는 11 부분을 트리거하지 않을 수 있습니다. 그러나 압력을 유지하는 구성 요소, 제품 접촉 표면 및 검증된 공정에서 사용되는 장비의 경우 문제를 명시적으로 해결해야 합니다.


인증서 관리 시스템에 대한 21 CFR 11 부분 핵심 요구사항

전자 기록 (§11.10)

접근 제어 (§11.10(d)): 시스템은 권한이 있는 사용자만 접근할 수 있어야 합니다. 인증서 관리의 경우, 이는 역할 기반 권한을 의미합니다 - 누가 어떤 인증서 기록을 생성, 수정, 승인 및 조회할 수 있는지 - 응용 프로그램 수준에서 적용되며 공유 자격 증명에 의존하지 않습니다.

감사 추적 (§11.10(e)): 시스템은 컴퓨터에서 생성한, 날짜/시간 스탬프가 지정된 감사 추적을 생성해야 하며, 이는 항목을 생성, 수정 또는 삭제할 때를 기록합니다. 원본 항목을 보존해야 합니다. 이 요구사항은 승인된 인증서를 소급해서 편집할 수 없음을 의미합니다 - 예를 들어 화학 값을 변경하는 경우 - 추적 가능한 변경 기록을 작성하지 않고는 불가능합니다.

기록 생명주기 전체에 걸친 기록 무결성 및 가독성 (§11.10(b)): 기록은 필요한 보존 기간 내내 인간이 읽을 수 있는 형식으로 검색 가능해야 합니다. 제품 수명이 20년 이상인 제약 장비의 경우, 이는 시스템과 저장 형식이 전체 기간 동안 액세스 가능해야 함을 의미합니다.

운영 시스템 검사 (§11.10(f)): 시스템은 순서를 강제해야 합니다 - 승인이 수령을 선행할 수 없으며, 2차 승인자는 1차 검토가 완료되기 전에 서명할 수 없습니다.

권한 검사 (§11.10(g)): 권한이 있는 개인만 자신의 역할에 사용 가능한 시스템 기능을 사용할 수 있습니다. 저급 검사관은 품질 관리자 승인을 수행할 수 있는 능력을 가져서는 안 됩니다.

전자 서명 (§11.50, §11.100, §11.200)

인증서에 전자적으로 서명된 경우:

  • 각 전자 서명은 한 개인에게 고유해야 하며 재사용되거나 재할당될 수 없습니다
  • 서명된 기록에는 서명자의 전체 이름, 날짜 및 시간, 서명의 의미(예: "품질 관리자가 승인함")가 표시되어야 합니다
  • 서명에는 최소 두 개의 서로 다른 식별 구성 요소(일반적으로 사용자명/비밀번호)가 필요하거나 단일 생체 인식 구성 요소를 사용해야 합니다
  • 전자 서명은 각각의 기록에 연결되어야 합니다 - 복사되어 추출되고 다른 기록에 거짓으로 적용될 수 없습니다

비생체 인식 전자 서명 (§11.200(a)): 최소 두 개의 서로 다른 식별 구성 요소를 사용해야 합니다. 일반적인 구현: 승인자가 세션당 한 번 로그인(인증)하고 서명 시점에서 비밀번호를 다시 입력합니다(두 번째 구성 요소로 재인증).


시스템 검증 요구사항

21 CFR 11 부분은 종종 GAMP 프레임워크에 따른 컴퓨터 시스템 검증(CSV)에 대한 FDA 지침과 함께 사용됩니다. 인증서 관리 소프트웨어는 의도된 기능을 일관되게 수행함을 입증하기 위해 검증되어야 합니다.

인증서 관리 시스템의 경우 검증에는 일반적으로 다음이 포함됩니다:

  • 설치 적격성 (IQ) - 시스템이 올바르게 설치되고 알려진 구성에 있습니다
  • 운영 적격성 (OQ) - 시스템이 모든 필요한 기능(승인 워크플로우, 감사 추적, 접근 제어)을 올바르게 수행합니다
  • 성능 적격성 (PQ) - 시스템이 실제 운영 조건에서 일관되게 수행됩니다

공급업체 제공 검증 패키지는 조직의 검증 책임을 제거하지 않지만 작업을 크게 줄입니다. 규제 환경을 위한 인증서 관리 소프트웨어를 평가할 때, 검증 문서 패키지(IQ/OQ/PQ 템플릿, 위험 평가, 테스트 스크립트)를 구체적으로 요청합니다.


인증서 승인 워크플로우에 대한 실질적 영향

제약 제조에 공급하는 제조업체의 경우 11 부분 규정 준수는 여러 구체적인 방법으로 인증서 승인 워크플로우를 변경합니다:

표준 실행11 부분 요구사항
이메일 승인 ("괜찮아 보여")규정 비준수 - 고유 ID 없음, 기록에 타임스탬프 없음
승인을 위한 공유 로그인규정 비준수 - 서명은 한 개인에게 고유해야 합니다
거부된 인증서 덮어쓰기규정 비준수 - 원본 기록을 보존해야 합니다
공유 드라이브의 PDF접근 제어 및 감사 추적이 문서화되면 규정 준수 가능
스캔된 종이 서명종이 기록에 대해 규정 준수; 스캔한 경우, 스캔은 전자 기록 무결성 요구사항을 충족해야 합니다

인증서 관리 소프트웨어 공급업체에 물어볼 사항

  1. 시스템이 모든 기록 생성, 수정 및 삭제에 대해 컴퓨터 생성 감사 추적을 생성합니까?
  2. 감사 추적 기록이 관리자를 포함한 사용자의 수정으로부터 보호되나요?
  3. 전자 서명 메커니즘이 두 개의 서로 다른 식별 구성 요소를 요구합니까?
  4. 시스템이 검증되었으며 검증 패키지를 사용할 수 있습니까?
  5. 시스템이 구성 가능한 권한 수준이 있는 역할 기반 접근을 지원합니까?
  6. 시스템이 20년 이상의 액세스 가능성이 필요한 기록에 대한 보존을 어떻게 처리합니까?

TestCert는 이러한 요구사항을 염두에 두고 설계되었습니다 - 규정 준수 전자 서명, 불변 감사 추적, 역할 기반 접근 제어 및 규제 환경에서 검증 활동을 지원하는 문서를 제공합니다.


21 CFR 11 부분이 제약 회사에 판매하는 모든 제조업체에 적용됩니까?

자동적으로는 아닙니다. 11 부분은 FDA 규정에 의해 요구되는 기록에 적용됩니다. 인증서가 규제 기록의 일부가 되는 경우 - 장비 적격성, 배치 기록 또는 장치 이력 기록에 통합 - 적용 가능한 요구사항이 시스템에 흐릅니다. 제약 고객의 품질 계약은 일반적으로 공급업체에게 기대되는 규정 준수를 지정합니다. 이러한 요구사항을 신중하게 검토하고 시스템의 규정 준수 태세를 입증하는 기록을 유지합니다.

Adobe Acrobat로 서명한 PDF 인증서가 21 CFR 11 부분에 충분합니까?

Adobe 인증서 기반 디지털 서명이 있는 PDF는 서명 인프라가 고유성, 부인 방지 및 기록에 대한 링크에 대한 11 부분 요구사항을 충족하는 경우 규정 준수할 수 있습니다. 그러나 더 광범위한 시스템 요구사항 - 전체 인증서 수명 주기에 대한 감사 추적, 접근 제어, 보존 - 도 주변 워크플로우에 의해 충족되어야 합니다. PDF 서명 단독으로는 규정을 준수하는 기록 관리 시스템이 없으면 일반적으로 충분하지 않습니다.

FDA 규정에 따른 재료 인증서의 보존 기간은 얼마입니까?

FDA에서 지정한 재료 인증서의 단일 보존 기간은 없습니다. 보존 요구사항은 기록을 요구하는 특정 규정에서 파생됩니다. 21 CFR 11 부분에 따라 배치 기록은 약물 배치의 만료 날짜로부터 최소 1년 후 또는 FDA 배치 승인 후 1년 동안 보존해야 합니다. 장비 적격성 기록의 경우 많은 조직이 장비의 수명에 규제 기간을 더한 기간을 적용합니다. 특정 상황에 대해서는 품질 팀 및 법률 고문과 상담합니다.

11 부분 요구사항이 공급업체로부터 받은 인증서에 적용되거나 우리 자신의 기록에만 적용됩니까?

11 부분은 조직의 기록 시스템에 적용됩니다. 공급업체로부터 인증서를 받아 기록에 통합할 때 - 스캔, 업로드 또는 승인 워크플로우에서 참조 - 시스템의 기록이 FDA 감시를 받는 경우 11 부분을 준수해야 합니다. 공급업체의 원본 발행 시스템은 공급업체의 규정 준수 문제입니다; 귀사의 수취 및 저장 시스템은 귀사의 문제입니다.

21 CFR 11 부분과 EU GMP 부록 11의 차이점은 무엇입니까?

둘 다 제약 제조의 전자 기록과 서명을 규제하지만 다양한 관할권에 적용됩니다. 21 CFR 11 부분은 미국 FDA 규정이고; EU GMP 부록 11은 유럽 연합의 GMP 규제 제조에 사용되는 컴퓨터화된 시스템을 다룹니다. 많은 원칙을 공유합니다 - 감사 추적, 접근 제어, 검증 - 그러나 특정 기술 요구사항과 적용 방법이 다릅니다. 두 시장 모두에 공급하는 조직은 두 프레임워크를 모두 해결해야 합니다.

Ready to automate your certificate workflow?

Try TestCert free

관련 가이드