제약 및 의료기기 산업에서 컴퓨터 시스템의 검증(Computerized System Validation, CSV)은 제품 품질과 환자 안전을 보장하기 위한 필수 요소입니다. 특히, ISPE의 GAMP 5(Guidelines for Good Automated Manufacturing Practice) 가이드라인은 CSV 수행 시 전 세계적으로 가장 널리 참조되는 표준 중 하나입니다.
이번 글에서는 2022년 개정된 GAMP 5 Second Edition을 기반으로, GAMP 5의 구조, 핵심 개념, 실제 적용 시 고려사항들을 가이드라인 내 주요 섹션과 함께 정리해보겠습니다.
✔️ GAMP 5란 무엇인가?
GAMP(Good Automated Manufacturing Practice)는 ISPE(International Society for Pharmaceutical Engineering)에서 제정한 지침으로, 규제 산업에서 사용되는 자동화 시스템 및 소프트웨어의 품질 보증과 검증을 위한 프레임워크를 제공합니다.
GAMP 5의 주요 목적은 다음과 같습니다:
- 위험 기반 접근(Risk-based approach)을 통한 검증 효율화
- 제품 품질, 환자 안전, 데이터 무결성(Data Integrity)의 확보
- 비즈니스 니즈와 규제 요건의 균형
📘 GAMP 5의 구조 및 핵심 섹션 소개
GAMP 5는 총 5개의 파트와 부록(Appendices)으로 구성되어 있습니다. 그 중 주요 섹션은 아래와 같습니다.
- Part 1 – Introduction and Key Concepts
- Part 2 – Life Cycle Approach
- Part 3 – Risk Management Approach
- Part 4 – Quality Management
- Part 5 – Data Integrity and Governance (2nd Edition에서 신설 강조)
이 중 핵심은 Part 2 (Lifecycle Approach)와 Part 3 (Risk Management)입니다.
✔️ Part 2: System Life Cycle의 이해
GAMP 5는 소프트웨어/시스템의 생애주기를 다음과 같이 나눕니다:
- Concept → Project Planning → Requirements → Design → Configuration/Build → Verification → Release → Operation → Retirement
각 단계별 문서화가 중요하며, Validation Plan, URS(User Requirement Specification), Test Protocols, Traceability Matrix 등이 이에 포함됩니다.
특히, Commercial Off-The-Shelf (COTS) 소프트웨어의 경우 과도한 검증을 지양하고, 실제 사용자 요구 사항에 기반한 검증이 강조됩니다. 이는 Part 2의 "Scalable Lifecycle Activities" 개념에서 자세히 설명됩니다.
✔️ Part 3: Risk-Based Approach – 위험 기반 검증 전략
GAMP 5의 핵심은 바로 위험 기반 접근법입니다. 이는 ICH Q9: Quality Risk Management와 동일한 철학을 공유하며, 검증 리소스를 고위험 시스템에 집중하는 방식입니다.
GAMP 5에서는 Risk Assessment의 3가지 핵심 요소를 아래와 같이 제시합니다:
- 제품 품질에 미치는 영향
- 환자 안전에 대한 영향
- 데이터 무결성 위협 요소
위험 평가 기법으로는 FMEA(Failure Mode and Effects Analysis), Fault Tree Analysis 등이 소개되며, GAMP Appendix M3에서 상세 설명됩니다.
✔️ Part 5: 데이터 무결성(Data Integrity) 강조
2nd Edition의 가장 큰 변화 중 하나는 데이터 무결성에 대한 독립 섹션 추가</strong입니다. ALCOA+ 원칙(Attributable, Legible, Contemporaneous, Original, Accurate + Complete, Consistent, Enduring, Available)을 기준으로 시스템 설계 및 운영이 이루어져야 함을 강조합니다.
GAMP 5는 시스템의 전자기록 생성, 저장, 변경, 접근 권한, 백업 및 복구, 감사 추적 등의 기능이 규제 요구사항(예: FDA 21 CFR Part 11, EU Annex 11)을 충족해야 한다고 명시합니다.
✔️ 카테고리별 시스템 유형 분류 (Appendix D)
GAMP 5는 시스템을 5가지 카테고리로 분류하며, 이 분류는 검증 수준을 결정하는 기준이 됩니다.
| 카테고리 | 설명 |
|---|---|
| Category 1 | 운영체제, 펌웨어 등 (검증 필요 없음) |
| Category 3 | 표준 패키지 소프트웨어 (예: Excel) |
| Category 4 | 구성 가능한 패키지 (ERP 등) |
| Category 5 | 고유 개발 시스템 (Custom Software) |
카테고리별 검증 범위는 Appendix M4에서 예시와 함께 제시됩니다.
✅ 정리 – 실무 적용을 위한 TIP
- 1. Validation Plan은 초기부터 전략적으로 수립
- 2. 모든 검증 활동은 Traceability 확보
- 3. 공급업체 평가(Vendor Audit)는 필수
- 4. 변경관리(Change Control)는 운영단계의 핵심
마지막으로, 검증의 목적은 단순히 규제를 만족시키는 것이 아니라, 제품 품질과 환자 안전을 위한 시스템 신뢰성을 확보하는 것임을 잊지 말아야 합니다.
📎 관련 참고 사이트:
📌 다음 글 예고: GAMP 5에 따라 CSV 문서셋을 구성하는 법 – Validation Plan부터 Traceability Matrix까지!