본문 바로가기
# GMP 자료 🐤

CSV에서 CSA로: 최신 가이드라인이 요구하는 3대 변화

지캣담당자 2026. 2. 20. 15:41
반응형

안녕하세요. 지캣입니다.

 

최신 GMP 가이드라인에서

CSV(컴퓨터 시스템 밸리데이션, Computer System Validation)의 가장 큰 흐름은

과거의 '문서 중심'에서 '위험 기반의 데이터 무결성(Data Integrity)'과

'CSA(컴퓨터 소프트웨어 보증)'로의 패러다임 전환입니다.

 

📑 CSV 관련 최신 가이드라인 및 규정 근거

 

📜 GAMP® 5 2nd Edition (2022년 발행)

 

  • 발행처: ISPE (국제제약기술협회)
  • 작성일: 2022년 7월
  • 핵심 내용: CSV의 바이블로 불리는 GAMP 5가 14년 만에 개정되었습니다.
  • 주요 섹션: Main Guide 및 신규 Appendix (애자일, 클라우드 컴퓨팅 등)
    • 핵심 요약: 과거의 V-모델을 유지하되, Agile 방법론, 클라우드 기반 서비스(SaaS), AI 및 머신러닝에 대한 밸리데이션 방안이 대거 추가되었습니다. 문서화 수치를 줄이고 시스템의 '비즈니스 프로세스'와 '데이터 안전성'에 집중할 것을 권고합니다.

 

📜 FDA CSA Draft Guidance (2022)

 

  • 가이드라인 명칭: Computer Software Assurance for Production and Quality System Software
  • 발행일: 2022년 9월
  • 핵심 내용: CSV를 넘어선 CSA(Computer Software Assurance) 개념의 공식화.
  • 주요 섹션: Section IV. CSA Activities
    • 핵심 요약: "모든 것을 문서화하지 마라(Least Burdensome Approach)"는 것이 골자입니다. 위험도가 낮은 소프트웨어는 스크린샷 위주의 복잡한 테스트 대신 비정형 테스트(Unscripted Testing)와 제조사의 역량 활용을 권장하여 밸리데이션 효율을 높이는 데 초점을 맞춥니다.

 

📜 PIC/S GMP Annex 11 (개정 진행 중)

 

  • 가이드라인 명칭: Computerised Systems
  • 현황: 현재 최신 기술(AI, Cloud)을 반영하기 위한 개정 절차가 진행 중입니다.
  • 핵심 섹션: Section 4 (Validation), Section 12 (Data Integrity)
    • 핵심 요약: 유럽 및 한국 식약처가 따르는 가이드라인으로, 데이터 무결성(Data Integrity)과 시스템 보안을 최우선으로 강조합니다.

[심층 분석] CSV에서 CSA로: 최신 가이드라인이 요구하는 3대 변화

 

1. "종이 문서" 대신 "위험(Risk)"에 집중하라

과거에는 모든 시스템에 대해 동일한 양의 테스트 문서를 만들었습니다.

하지만 최신 GAMP 5와 FDA CSA는 '환자의 안전'과 '제품의 품질'에 직접적인 영향을 주는 기능에만

검증 자원을 집중하라고 말합니다.

 

2. 데이터 무결성(Data Integrity)과 ALCOA+

CSV의 목적은 결국 데이터의 신뢰성입니다.

최신 가이드라인은 시스템이 다음의 ALCOA+ 원칙을 시스템적으로 구현하고 있는지 검증할 것을 요구합니다.

 

  • Attributable: 누가 기록했는가 (Audit Trail)
  • Legible: 읽을 수 있는가
  • Contemporaneous: 즉시 기록되었는가
  • Original: 원본 데이터인가
  • Accurate: 정확한가

 

3. 클라우드 및 외주 서비스(SaaS)에 대한 책임

최근 많은 제약사가 클라우드 시스템을 도입합니다.

최신 가이드라인은 '공급업체 평가(Supplier Assessment)'를 강조합니다.

 

  • 직접 밸리데이션하기 어려운 클라우드 환경의 경우, 공급업체의 적격성 평가 보고서를 검토하고 이를 CSV 보고서에 활용하는 방식이 최신 트렌드입니다.

🧪 CSV 최신 대응을 위한 단계별 전략

단계 핵심 수행 내용 비고
1. 분류(Categorization) GAMP 5 기준에 따른 SW 카테고리(Cat 3, 4, 5) 분류
인벤토리 작성 필수
2. 위험 평가(RA) 시스템 실패 시 환자/품질에 미치는 영향 분석
최신 CSA 방식 적용 권장
3. 전략 수립(VP) 어떤 테스트를 얼마나 정밀하게 할지 결정
무인벤토리/비정형 테스트 도입 검토
4. 실행 및 보고 실제 테스트 수행 및 감사 추적(Audit Trail) 검토
ALCOA+ 준수 확인

 

 

 

 

1. GAMP® 5 2nd Edition: 현대적 기술의 포용 (2022)

과거의 선형적인 V-모델에 갇히지 않고,

현대적인 소프트웨어 개발 및 서비스 모델을 GMP 체계 안으로 공식 편입시켰습니다.

 

📄 가이드라인 원문

 

"The Guide encourages the use of software tools to support Agile practices... specific guidance for cloud-hosted SaaS, AI/ML-driven decision engines."
본 가이드는 애자일(Agile) 관행을 지원하는 소프트웨어 도구의 사용을 권장하며, 클라우드 기반의 SaaS, AI/머신러닝 기반 의사결정 엔진에 대한 구체적인 지침을 제공한다.

 

 

💡 세부 내용 및 해석

 

  • Agile 방법론: 반복적이고 점진적인 개발 방식(Scrum, Kanban 등)을 인정합니다. 이제 한 번에 모든 문서를 완성하는 대신, 개발 단계마다 테스트와 검증을 병행하는 것이 가능해졌습니다.
  • SaaS(Cloud): 서버를 직접 관리하지 않는 클라우드 환경의 특성을 반영하여, 공급업체(Vendor)의 역량 평가와 감사 보고서 활용을 강조합니다.
  • AI 및 머신러닝: 고정된 로직이 아닌 데이터에 의해 학습되는 AI의 특성을 고려하여, 알고리즘 자체보다 '데이터의 품질'과 '지속적인 성능 모니터링'에 초점을 맞춘 새로운 Appendix(D11)가 추가되었습니다.

2. FDA CSA: 문서 중심에서 보증 중심으로 (2025/2026 최종화)

 

FDA는 2022년 초안 이후, 2025년 9월 최종 가이드라인을 발행하고 2026년 2월 업데이트를 통해 CSA 개념을 완전히 공식화했습니다.

 

📄 가이드라인 원문 및 번역

 

"Focus moves from exhaustive documentation to maintaining ongoing confidence in software performance, emphasizing assurance over validation... categorization as high process risk or not high process risk."
중점이 소모적인 문서화에서 소프트웨어 성능에 대한 지속적인 신뢰 유지로 이동하며, 검증(Validation)보다 보증(Assurance)을 강조한다. 리스크는 '높은 공정 위험'과 '그렇지 않은 위험'으로 단순 분류한다.

 

💡 세부 내용 및 해석

 

  • Critical Thinking(비판적 사고): 모든 기능에 똑같은 양의 문서를 만들지 말고, "이게 진짜 환자에게 위험한가?"를 따져서 위험하지 않다면 문서를 간소화하라는 뜻입니다.
  • Unscripted Testing: 리스크가 낮은 기능은 미리 상세 시나리오를 작성하지 않고도, 전문가의 지식에 기반한 테스트 결과(스크린샷 등 간소화된 증거)만으로도 보증이 가능해졌습니다.
  • 문서 간소화: 불필요한 행정적 문서 작성을 줄이고, 실제 시스템이 제대로 작동하는지 '테스트'하는 그 자체에 시간을 더 쓰라는 것이 FDA의 핵심 메시지입니다.

3. PIC/S GMP Annex 11 & 신규 Annex 22: AI와 클라우드 반영

 

전 세계 GMP 실사 기관들의 연합체인 PIC/S는 2025년 7월부터 대대적인 개정안에 대한 공람(Stakeholder Consultation)을 시작했습니다.

 

📄 가이드라인 원문 및 번역

 

"Revised Annex 11 established enhanced requirements for lifecycle management... introduction of a dedicated Annex 22 on Artificial Intelligence."
개정된 Annex 11은 라이프사이클 관리에 대한 강화된 요구사항을 수립하며, 인공지능에 관한 전용 부록인 Annex 22를 도입한다.

 

💡 세부 내용 및 해석

 

  • Annex 11 (Computerised Systems): 기존 5페이지 분량에서 19페이지로 대폭 확대되었습니다. 클라우드 서비스 제공자에 대한 책임 범위, 사이버 보안(Cybersecurity), 데이터 거버넌스 내용이 대거 포함되었습니다.
  • Annex 22 (AI - 신설): 제약 공정에 AI를 사용할 때 모델의 선택, 학습(Training), 검증 방법론을 다루는 세계 최초의 공식 GMP 부록입니다.
  • 상태 업데이트: 2025년 하반기 의견 수렴을 거쳐 2026년 내에 최종 승인 및 시행을 목표로 하고 있어, 현재 제약업계가 가장 주목해야 할 규정 변화입니다.

 

2026년 CSV의 대변혁: 이제는 CSA와 AI의 시대입니다!

제약·바이오 업계의 IT 품질 관리 담당자라면 반드시 알아야 할 변화가 찾아왔습니다.

과거의 딱딱한 문서 중심 CSV는 가고,

실질적인 리스크를 관리하는 CSAAI 가이드라인이 그 자리를 채우고 있습니다.

 

핵심 포인트 3가지

  1. 애자일과 클라우드, 이제 불법(?)이 아닙니다.
    • GAMP 5 2nd Ed은 현대적인 클라우드(SaaS)와 빠른 개발 방식인 애자일을 공식적으로 수용했습니다. 이제 최신 IT 트렌드를 GMP 현장에 더 유연하게 적용할 수 있습니다.
  2. FDA가 선언한 CSA: "문서 작성 시간을 줄이고 테스트에 집중하라"
    • 리스크가 낮은 소프트웨어 기능은 복잡한 스크립트 없이도 검증이 가능합니다. 이른바 Critical Thinking을 통한 효율적인 밸리데이션이 가능해진 것이죠.
  3. PIC/S Annex 22의 등장: AI 밸리데이션의 표준
    • 2026년 시행 예정인 신규 Annex 22는 AI 모델을 어떻게 학습시키고 검증해야 하는지에 대한 '정답지'를 제공합니다.

 

결론: 어떻게 대응해야 할까요?

이러한 규제 변화의 공통점은

"위험을 제대로 이해하고, 데이터의 무결성을 끝까지 책임져라"는 것입니다.

 

최신 가이드라인에 부합하는 CSV 전략이 필요하다면,

지캣(GCAT)의 전문 컨설팅을 통해 선제적으로 대응해 보세요!

참고 자료: ISPE GAMP 5 2nd Edition (2022), FDA Final Guidance on CSA (2026), PIC/S Annex 11 Draft (2025)

현재 사용 중인 시스템의 GAMP 5 카테고리 분류가 궁금하신가요?

혹은 FDA 실사를 대비한 데이터 무결성(DI) 점검이 필요하시다면

지캣(GCAT)에서 상세한 가이드를 받아보실 수 있습니다.

 

🔗 지캣(GCAT) CSV 및 데이터 무결성 컨설팅 바로가기

 

www.gmpcat.com 

 

신뢰할 수 있는 GMPCAT 컨설팅 & 밸리데이션

GMP 밸리데이션 전문 컨설팅 기업 GMPCAT. IQ/OQ/PQ, CSV, 제조·시험 설비 적격성평가 및 규제 대응을 제공합니다.

www.gmpcat.com

 

728x90
저작자표시 비영리 변경금지 (새창열림)

'# GMP 자료 🐤' 카테고리의 다른 글

합성보다 까다로운 검사, 환자의 안전을 책임지는 방사성의약품 QC 공정  (0) 2026.02.24
PET, FDG, Iodine 핫셀의 차이와 사이클로트론의 역할 정리  (0) 2026.02.24
Worst Case 선정 방법  (0) 2026.02.10
Cleaning Validation 실무  (0) 2026.02.09
무균공정 밸리데이션  (0) 2026.02.09

'# GMP 자료 🐤' Related Articles

티스토리툴바