CSV(Computer System Validation)란 무엇인가?

최근 제약업계의 화두인 '데이터 완전성(Data Integrity)'과 직결되는 아주 중요한 개념이죠.

---

💻 CSV(Computer System Validation)란 무엇인가?

 

CSV란 제약 제조 및 품질 관리에 사용되는 컴퓨터 시스템(소프트웨어 및 하드웨어)이

의도된 대로 정확하고 일관되게 작동하며, 생성된 데이터가 신뢰할 수 있음을 문서로 증명하는 과정입니다.

 

쉽게 말해, "기계(장비)가 제대로 도는지 확인하는 게 적격성평가라면,

그 기계를 돌리는 프로그램(소프트웨어)이 조작되거나 오류 없이 돌아가는지 확인하는 것이 CSV"입니다.

---

🔍 CSV가 왜 그렇게 중요한가? (Data Integrity)

 

과거에는 종이 문서에 수기로 기록했지만, 지금은 모든 장비가 컴퓨터로 제어됩니다.

만약 누군가 소프트웨어를 조작해 '실패한 실험 데이터'를 '성공'으로 바꾼다면? 이를 방지하기 위한 것이 CSV입니다.

 

CSV의 핵심 요소 (ALCOA+ 원칙)

가이드라인에서 강조하는 데이터 관리의 원칙입니다.

• Attributable (출처 명확): 누가 기록했는가?
• Legible (판독 가능): 읽을 수 있는가?
• Contemporaneous (동시성): 작업 즉시 기록했는가?
• Original (원본성): 복사본이 아닌 원본인가?
• Accurate (정확성): 실제 값과 일치하는가?

---

📝 CSV 수행 단계 (GAMP 5 가이드라인 기준)

 

전 세계적으로 통용되는 GAMP 5(Good Automated Manufacturing Practice) 모델에 따라

보통 다음과 같은 V-Model 절차를 따릅니다.

1. URS (사용자 요구사양서): 시스템이 어떤 기능을 해야 하는지 정의.
2. Risk Assessment (위험 평가): 이 시스템이 품질에 어떤 영향을 미칠지 분석.
3. DQ/IQ/OQ/PQ: 프로그램 설치부터 실제 가동까지 단계별 검증.
4. Traceability Matrix (추적성 매트릭스): 요구사항이 테스트에서 모두 확인되었는지 검토.

---

🚩 CSV 가이드라인 주요 체크리스트

 

실사관이 CSV를 점검할 때 반드시 보는 3가지 포인트입니다.

 

• 감사추적 (Audit Trail): 데이터의 생성, 수정, 삭제 이력이 자동으로 기록되는가? (누가, 언제, 왜 바꿨는지)
• 사용자 권한 관리: 작업자, 검토자, 승인자의 계정이 분리되어 있고 권한이 적절한가? (작업자가 자기 기록을 지울 수 있으면 지적 사항!)
• 백업 및 복구: 서버 장애 시 데이터를 안전하게 복구할 수 있는 절차와 기록이 있는가?

---

CSV(Computer System Validation) 가이드라인은 단순히 소프트웨어의 오류 유무를 넘어,

"데이터가 생성되어 폐기될 때까지의 전 과정(Life-cycle) 동안 무결성이 유지되는가"를 입증하는 데 초점을 맞춥니다.

---

📑 CSV 관련 주요 가이드라인 체계

 

1. GAMP 5 (Global Standard)

전 세계 제약업계가 CSV의 '바이블'로 삼는 지침서입니다. (ISPE 발행)

• 리스크 기반 접근(Risk-based Approach): 모든 기능을 검증하는 것이 아니라, 제품의 품질과 환자의 안전에 영향을 미치는 고위험 기능에 검증 자원을 집중합니다.
• V-Model: 사용자 요구사항(URS)부터 성능 적격성평가(PQ)까지의 대응 관계를 시각화하여 체계적인 검증을 유도합니다.

 

2. 식약처 [별표 11] 컴퓨터화 시스템

국내 GMP 규정 중 CSV를 직접적으로 다루는 법적 근거입니다.

• 책임: 시스템 공급업체(Vendor)에만 의존하지 말고, 제조소(사용자)가 최종 책임을 져야 함을 명시합니다.
• 검증 범위: 단순한 엑셀 시트부터 복잡한 ERP, MES, LIMS 시스템까지 모두 검증 대상이 될 수 있습니다.

---

🛠️ 가이드라인에서 요구하는 핵심 관리 항목

CSV 검증 시 가이드라인이 "반드시 확인하라"고 명시한 5가지 포인트입니다.

 

① 사용자 요구사양서 (URS, User Requirements Specification)

• 가이드라인은 URS를 'Validation의 출발점'으로 봅니다.
• 사용자가 시스템에 기대하는 기능(예: 데이터 자동 저장, 수정 불가 등)이 명확히 기술되어야 합니다.

 

② 감사추적 (Audit Trail)

• 가장 중요한 항목입니다. 데이터의 생성, 수정, 삭제 이력이 시스템 내에 삭제 불가능한 로그로 남아야 합니다.
• 누가(Who), 언제(When), 무엇을(What), 왜(Why) 수정했는지 확인 가능해야 합니다.

 

③ 권한 관리 및 보안 (Security & Access Control)

• 계정 공유는 절대 금지입니다.
• 직무에 따라 권한을 분리(Segregation of Duties)해야 합니다. (예: 작업자는 데이터 입력만, 팀장은 승인만 가능)

 

④ 전자서명 (Electronic Signature)

• FDA 21 CFR Part 11 등 글로벌 가이드라인에 따르면, 전자서명은 종이 문서의 친필 서명과 동일한 법적 효력을 가져야 하며 수기 서명보다 더 엄격하게 관리되어야 합니다.

 

⑤ 백업 및 복구 (Backup & Recovery)

• 천재지변이나 시스템 오류 시에도 데이터가 손실되지 않도록 정기적인 백업과, 실제로 복구가 가능한지 확인하는 복구 테스트(Recovery Test) 기록이 있어야 합니다.

---

💡 CSV 가이드라인 요약

"CSV는 단순한 IT 검사가 아닙니다." 가이드라인의 본질은 '데이터의 생애주기 관리'에 있습니다.
소프트웨어가 똑똑한 것보다,
그 소프트웨어가 뱉어내는 데이터가 수정이나 삭제로부터 안전하게 보호받고 있는가가 CSV 가이드라인의 핵심입니다.

 

 

www.gmpcat.com 

신뢰할 수 있는 GMPCAT 컨설팅 & 밸리데이션