Data Integrity(DI)와 Computer System Validation(CSV)의 관계

1. 키워드 및 개념 정리

먼저 DI와 CSV가 무엇인지 간단히 개념부터 살펴볼게요.

• DI (데이터 무결성) : 데이터가 생성부터 보관, 수정, 저장, 삭제에 이르기까지 **완전성(completeness), 일관성(consistency), 정확성(accuracy)**을 유지하는 상태예요.
• CSV (컴퓨터 시스템 밸리데이션) : 규제 대상 산업(제약, 바이오, 의료기기 등)에서 컴퓨터화된 시스템이 의도된 목적을 지속해서 충족하는지, 문서화된 방식으로 확인하고 증명하는 절차예요.

이 둘은 ‘별개의 개념 같지만’ 실제로는 매우 밀접하게 연결되어 있어요. 바로 시스템이 데이터를 처리·보관하는 방식이 그 데이터의 무결성 확보에 직접적 영향을 미치기 때문입니다.

 

---

2. 왜 DI와 CSV 관계가 중요할까?

제약·바이오 등의 산업에서는 데이터 하나 잘못되면 제품품질이나 환자안전에까지 영향을 줄 수 있어요. 그래서 규제기관은 DI에 대해 매우 엄격해요. 

여기서 CSV가 중요한 이유는 다음과 같아요:

• 컴퓨터화된 시스템이 데이터를 생성·수집·저장·처리하는 과정이기 때문에, 이 시스템이 잘 설계되고 운영돼야만 데이터가 무결성을 유지할 수 있어요.
• 예컨대 시스템 검증이 잘 안 돼 있다면 입력 오류, 변경내역 누락, 접근통제 미비, 감사추적(audit-trail) 미구비 같은 문제가 발생할 수 있고, 이는 DI 위반으로 이어질 수 있어요.
• 규제 문서에서 DI와 CSV가 함께 언급되는 빈도가 증가하고 있어요. 예컨대 U.S. Food & Drug Administration(FDA)의 DI 가이던스에서는 시스템 설계·운영·감사트레일이 DI 확보를 위해 필수라고 밝히고 있어요.

즉, CSV가 체계적으로 수행될 때 DI가 확보되며, 반대로 DI가 확보되지 않은 상태라면 CSV 프로세스를 다시 점검해야 한다는 말이죠.

---

3. 최신 규제·산업 동향

키워드 : ALCOA+, Annex 11, 검증 라이프사이클
최근 DI 및 CSV 관련해서 주목해야 할 흐름들이 있어요.

• DI에 대한 기본 틀로서 **ALCOA (Attributable, Legible, Contemporaneous, Original, Accurate)**에 ‘+’를 붙인 ALCOA+ (Complete, Consistent, Enduring, Available) 개념이 널리 활용되고 있어요. 
• 유럽측 규제인 EU Annex 11(Computerised Systems)에서는 CSV 뿐 아니라 접근통제, 감사트레일, 데이터 백업·복구, 변경관리(change control) 등을 통해 DI 확보를 요구하고 있어요.
• 최근에는 DI나 CSV가 단순히 검사·감사 대상이 아니라 조직문화, 리스크 기반 접근(risk-based approach), 지속적 개선(lifecycle approach) 측면으로 확대되고 있어요. 

이러한 흐름을 보면 단순히 “처음에 검증했다”가 아니라, 시스템이 운영되는 전체 생애주기(lifecycle) 동안 지속적으로 검토·운영되어야 한다는 인식이 커지고 있어요.

---

4. DI와 CSV의 실무적 연결 고리

키워드 : 검증계획, 감사트레일, 변경관리
조직에서 DI와 CSV를 실무에 적용할 때, 서로 어떤 연결점이 있는지 단계별로 살펴볼게요.

(1) CSV 계획 단계 & DI 관점

CSV 프로젝트 초기에 ‘시스템이 처리하는 데이터가 어떤 무결성 요구사항을 갖는가’를 **리스크 평가(risk assessment)**로 정의하는 것이 중요해요. 이렇게 해야 나중에 시스템이 데이터를 어떻게 다루는지가 명확해져요.

(2) 시스템 설계/설정 단계

• 시스템에 접근권한 통제, 감사트레일(audit trail), 데이터 변경 이력 기록, 백업 및 복구 정책 등이 설계되어야 해요. 이는 DI 원칙 중 ‘Attributable, Available, Consistent’ 등에 직접 작용해요. 
• 검증문서(예: IQ, OQ, PQ) 설계 시에는 ‘데이터 생성·수정·삭제’ 등 각각의 프로세스가 어떻게 통제되는지 명시되어야 합니다. 

(3) 운영 및 유지관리 단계

• 시스템 검증이 완료된 후에도 **정기검토(periodic review)**를 통해 시스템이 여전히 유효하게 동작하고 있는지 확인해야 해요. 시스템 변경이 있을 경우에는 변경관리(Change Control) 프로세스를 거쳐 다시 검증해야 해요.
• 또한, 사용자 교육(training)과 문서화(documentation)도 필수예요. 누가 언제 데이터를 입력했는지, 어떤 변경이 있었는지는 책임이 명확히 있어야 하니까요. 

(4) 감사 및 검토

• DI 위반 사례가 발견될 경우, 시스템의 검증 상태, 변경기록, 접근제어 등이 제대로 되었는지 검토해야 해요. CSV 문서들과 DI 관련 로그는 서로 맞물려 있어야 합니다.
• 감사 트레일을 주기적으로 검토하고 이상 징후가 있는지를 모니터링하는 것이 고도화된 수준에서는 AI나 분석도구로 확대되고 있어요. 

---

5. 실전 체크리스트 & 베스트 프랙티스현장에서 적용할 수 있는 체크리스트 형태와 베스트 프랙티스를 정리해볼게요.

• 시스템 검증 계획서에 DI 관련 요구사항(예: 감사트레일 활성화, 접근기록 저장, 변경로그, 백업/복구)을 포함했나요?
• 사용자 권한이 명확히 정의돼 있고 ‘누가’ 데이터를 입력·수정·삭제했는지 감시 가능한가요?
• 데이터가 입력될 때 적절히 시간·작성자·변경내역이 기록되며, 변경 후에는 승인절차가 존재하나요?
• 시스템 변경 시 변경관리 프로세스가 운영되고, 변경 후 적절히 재검증이 이뤄지고 있나요?
• 저장된 데이터가 삭제·변조되지 않고, 보존기간이 끝난 후 폐기절차가 실행되며, 필요 시 데이터 복구가 가능한가요?
• 주기적으로 시스템 검토 및 내부감사를 시행하고 있고, 그 검토 결과에 따라 개선 활동이 이뤄지고 있나요?
• 사용자 교육이 정기적으로 이뤄지고 있고, 조직 내에서 ‘데이터 무결성’의 문화가 자리잡고 있나요?

이런 체크리스트를 기반으로 조직의 현 상태를 진단하고, ‘CSV 중심’이 아닌 ‘DI 확보 중심’으로 전환하면 더 강건한 관리체계를 갖출 수 있어요.

---

6. 마무리하며

키워드 : 통합관점, 지속적개선, 조직문화
오늘은 DI와 CSV의 관계, 최신 동향, 실무 적용방법까지 꽤 광범위하게 다뤄봤어요. 핵심은 이렇습니다:

• CSV는 시스템이 의도대로 작동함을 증명하는 활동이에요.
• DI는 그 시스템이 다루는 데이터가 생애주기 전체에 걸쳐 신뢰할 수 있다는 확신이에요.
• 따라서 CSV가 제대로 이뤄진다면 DI 확보에 훨씬 유리해지고, 반대로 DI가 확보되지 않았다면 CSV가 제대로 작동하고 있다고 보기 어렵습니다.
• 규제환경도 점점 더 ‘리스크·생애주기·지속적개선’ 관점으로 변화하고 있어요. 관련 문서를 참고하시면서 조직문화와 프로세스를 함께 개선하시는 게 좋습니다.