数据完整性和法规遵从的最新监管指引

由于普遍存在的数据伪造和不良的数据管理实践，数据完整性和遵守良好生产规范(GMP)法规目前是制药行业的一个主要主题。为了帮助我们理解数据完整性问题，世界卫生组织(WHO)等监管机构¹药品和保健产品监管局^2，3.以及美国食品和药物管理局(FDA)⁴已就此主题发布指导文件。2021年7月，国家统计局发布了最新的指导文件药物检验合作计划(PIC/S)题为规范GMP/GDP环境中数据管理和完整性的良好实践。 ¹本文将概述整个指导文件，并审查计算机化系统的具体要求。这是一个重要的文件，因为它是由检查员为检查员写的。

图1 ：PIC/S pi041数据完整性指南最终版本的结构。

PIC/S是什么?

关于PIC/S需要解释一下。该组织本质上是一个由50多个监管机构组成的GMP检查员俱乐部。PIC/S的目标是在全球范围内协调GMP法规。监管机构申请加入PIC/S，经其他成员评估后，如果符合组织的标准，则允许其加入。PIC/S有自己的GMP法规，并被其成员国采用，如欧盟成员国、英国、澳大利亚和日本;唯一的例外是FDA仍然使用21 CFR 211。

此外，PIC/S还发布监管指导文件。其中之一是关于数据完整性的PI-041。这份指南酝酿了很长时间，2016年发布了初稿，2018年发布了下稿征求公众意见，2021年7月发布了最终版本。¹

重塑实验室信息学以加速药物发现和创新

实验室需要一个能够集成和自动化关键流程的技术基础设施，这样科学家就可以捕获和共享关键信息。下载这本电子书，了解如何创建数字连续性、管理暗数据、改进技术转让、改进流程并遵守合规法规。

看电子书

赞助内容

欧洲合规学会对2018年指南草案的审查

在发布第三份草案PI-041征求公众意见后，欧洲合规学院(ECA)于2019年2月在柏林举行了一次会议，由25名成员审查并向PIC/S秘书处提交意见。其中两个ECA成员前罗氏公司的沃尔夫冈·舒马赫和咨询公司Kereon AG的伊夫·萨姆森。

沃尔夫冈对新指导文件的看法是:

“PIC/S 041是关于数据完整性的最全面的监管指南:它由检查人员编写，并听取了行业的意见。与FDA、MHRA、WHO和各种GAMP(良好自动化生产规范)数据完整性良好规范文件相比，它为日常业务提供了详细的‘食谱’，包括如果未达到预期的所有检查风险。”

“在处理计算机化系统和相关数据的QMS/PQS的所有领域中，组织和技术控制是一个很大的重点。”

“我喜欢这份明确的文件，但我知道，该文件的实施将引起业界的大量努力。”

Yves的评论是:

“早期的PIC/S指南PI-011关于GXP环境中的计算机化系统，明确区分了检查员的期望和建议(参见PI-011-3第2.8节）. ² 相比之下，PI-041提供了很多建议，有时非常说明性，没有明确区分处方和推荐。PI041-1在3.7节中只提到“本指南在法律下不是强制性的或可执行的”。然而，该指南的内容无疑在检查过程中提出了监管机构方面的许多‘非强制性’期望。”

PIC/S PI-041:数据管理和完整性良好实践

• 药品质量体系中的数据治理
• 组织事宜，例如员工价值观、素质、操守及行为
• 纸张记录的注意事项，包括空白表格和主模板的控制
• 考虑计算机化系统，包括混合系统
• 外包和数据完整性
• 监管的行为
• 数据完整性故障的修复
  
  

图2 ：计算机化系统的特定数据完整性考虑(来自PIC/S PI-041)。

法律没有强制或强制执行?

PI-041第3.7节指出，本指南在法律上不是强制性的或可执行的。问题在于第9节中关于计算机化系统的指导可以追溯至强制性法规附件11，一些例子是:

• 计算机化系统的验证;附件11原则和第4条
• 计算机化系统清单;附件11第4.3条
• 定期评估;附件11第11条
• 数据传输;附件11第5条
• 审计跟踪;附件11第9条

因此，阅读本指南时，请了解和理解适用的法规。

数据完整性和遵从性始于系统购买

为了避免数据完整性问题长期存在，任何新的分析仪器和计算机化系统都必须在软件中有足够的技术控制来保护电子记录。第9.1.4条指出，实验室必须确保供应商充分理解法规和数据完整性要求，9.3第1项指出，应注意拟议的数据完整性控制评估。

史密斯和麦克道尔分析了100多份FDA对红外仪器的引用，他们表明，购买不适当的仪器仍然是一个问题。 ⁴ 超过40%的引用是由于在购买仪器之前缺乏软件控制，例如，没有安全性，利益冲突，没有审计跟踪。⁷尽管监管机构期望人们不应该购买不合格的系统，但由于实验室关注的是仪器而不是软件，数据完整性问题将永远存在。

洁净室监控的关键参数

验证是确保洁净室符合国际标准组织(ISO)分类的特定标准的重要过程。下载本白皮书，了解更多关于洁净室测试不足之处，全面的监控解决方案，验证和监控的关键参数

视图白皮书

赞助内容

了解并管理数据漏洞

该指南非常明确，连同世卫组织和MHRA的指南，^3.，5实验室必须了解任何计算机化系统产生的数据的重要性以及任何漏洞。数据流程映射⁶建议作为识别这些漏洞的一种方法，例如，共享用户身份或存储在目录中的数据文件，可以在应用程序外部删除，而没有审计跟踪条目。监管机构的期望是，这些漏洞应该使用技术控制来修复;尽管该指南承认，在更新或替换遗留系统之前，可能需要程序控制以确保数据完整性。第9.2.2条指出，一个系统可以是合格的、校准的和验证的，但不能保证其中包含的数据得到充分的保护。因此，需要识别和减轻任何数据漏洞。

系统安全和访问控制

指南的第9.5节规定了对系统安全性的期望。严格的职责隔离是必要的，以便管理员独立于实验室用户，这反映在其他几个监管指南中。然而，在培训过程中出现的一个常见问题是，如果实验室有一个只有少数用户的独立系统，这应该如何实现?PIC/S指南认识到这对于较小的组织来说是一个潜在的问题，并建议一个兼容的系统可以只有两个用户角色:

• 没有用户功能的管理员
• 不具有管理员功能的用户

然而，如果选择了这个选项，关键是审计追踪记录了各自的活动，以证明没有发生利益冲突。

有一个关于USB设备控制的特定部分，无论是u盘或u盘，还是相机，智能手机等。这是为了确保恶意软件不会被引入组织。

在选择仪器及其数据系统时，大多数用户甚至没有考虑到许多安全期望，这些期望被视为系统需求列表。

例如，系统是否可以生成包含用户标识及其角色的用户列表?大多数网络化系统都可以生成类似的列表，但独立系统不能，因为这不在供应商需求的范围内。如果你使用电子表格，忘了它吧!

Yves Samson对安全部分有进一步的担忧，他说:“有些期望令人困惑——例如，建议记录登录和注销。其他期望过于关注解决方案而不是目标，例如，将软件补丁可用性和补丁应用时间之间的持续时间视为“客观”标准。即使这种期望的意图是值得的，但将网络安全战略的有效性隐性地降低到部署安全补丁所需的时间也不是一个好主意，而忽略了许多约束和要求——例如资格和验证要求——可能直接影响应用软件补丁所需的时间。”

问题将是管理已接受过使用该指导的培训的检查员的期望。为了使这尽可能顺利，重要的是您的方法是合理的和记录的，并在适当的情况下进行风险评估。

不要碰这个系统，它已经被验证过了!

在规范的实验室中，对计算机化系统进行验证的传统方法是一旦验证，就不进行任何更改。相比之下，在安全部分，PIC/S指南采取了更严格的方法，并建议及时更新计算机化系统，包括安全补丁和新的应用程序版本。这在原则上是好的，但在行业内需要有不同的心态来承诺并在实践中遵循这一点，以及找到时间和资源来执行工作。

例如，使用少量的重新验证以增量方式更新应用程序更容易，而不是等到应用程序停止支持时，因为可能需要进行完整的验证和可能的数据迁移项目而恐慌。然而，这里提供的细节似乎更像是检验员的检查清单，对实验室来说没有什么灵活性。

审计跟踪对于数据完整性至关重要

与安全部分相比，审计跟踪的部分更短，考虑到审计跟踪对于确保操作的可追溯性和数据完整性是多么重要，这是令人惊讶的。术语表中审计追踪的定义是不充分的，您应该使用FDA或MHRA的定义。 ^5，7 第一个期望是实验室购买带有审计跟踪的系统。然而，在EU GMP附录11第12.4条中有一个可供选择的选项，即数据和文件的管理系统应设计为记录输入、更改、确认或删除数据的操作人员的身份，包括日期和时间。⁸因此，如果应用程序能够满足12.4的需求，则不需要审计跟踪。因为附件11是法律，它否决了PIC/S PI-041。

PIC/S指南重申，适当的系统选择应确保软件具有充分的审计跟踪。用户必须在验证期间验证此审计跟踪的功能。一些应用程序可能有多个审计跟踪，了解哪些对监控数据更改是重要的是很重要的。当应用程序有多个审计跟踪时，与数据审计跟踪相比，任何非关键审计跟踪的审查都可以以更长的时间间隔定期审查。

该指南的一个问题是，在5.6.2节中，系统日志和审计跟踪之间存在混淆——系统日志或操作系统事件日志永远不能替代审计跟踪。

管理混合系统

对于那些使用混合系统的公司，第9.10节并不适合阅读:不鼓励使用这种系统，应尽快更换，由于记录集的复杂性和操作数据的能力增强，需要额外的控制。这与世卫组织指南所采取的立场基本相同。^3.

一个潜在的繁重需求是整个系统的详细系统描述，概述所有主要组件、它们如何交互、每个组件的功能以及确保数据完整性的控制。你的实验室里有多少混合系统——包括电子表格?

总结

本文重点介绍了新的PIC/S PI-041指南的部分规范GMP/GDP环境中数据管理和完整性的良好实践处理计算机化系统。这是一个很好的指南，范围很广，有很多细节。在某些地方，它从有解释空间的指导转向了监管待办事项清单，尤其是针对计算机化系统。这可能使一些组织难以充分实施。

参考文献

1.PIC/S PI-041受监管GMP/GDP环境中数据管理和完整性良好实践草案。药品检验公约/药品检验合作计划。https://picscheme.org/docview/4234．2021年7月出版。2021年9月进入。

2.PIC/S GXP环境中的计算机化系统(PI-011-3)。药物检验公约/药物检验合作计划。https://picscheme.org/docview/3444．2007年9月出版。2021年9月进入。

3.世界卫生组织．世卫组织技术报告系列第996号附件5良好数据和记录管理规范指南．世界卫生组织:日内瓦。2016年出版。

4.Smith PA, McDowall RD. FDA红外483引用分析-您有数据完整性问题吗?光谱学．34(9): 2019; 22。

5.MHRA GXP数据完整性指南和定义。药品和保健产品管理局。https://www.gov.uk/government/publications/guidance-on-gxp-data-integrity．2018年3月9日发布。2021年9月进入．

6.McDowall RD.数据完整性焦点II:使用数据过程映射来识别完整性差距．LCGC N.America．37 2019;(2): 118 - 123。

7.FDA行业数据完整性和药品CGMP合规指南美国食品和药物管理局。https://www.fda.gov/media/119267/download．2018年12月出版。2021年8月访问。

8.欧洲委员会。EudraLex -卷4良好生产规范(GMP)指南，附件11计算机化系统．欧洲委员会:布鲁塞尔。2011年6月30日出版。