国内外法规对药物数据完整性的要求及应对

11/11国内外法规对药物数据完整性的要求及应对一、【基本概念】

Dataintegrityreferstothecompleteness,consistency,andaccuracyofdata.Complete,consistent,andaccuratedatashouldbeattributable,legible,contemporaneouslyrecorded,originaloratruecopy,andaccurate(ALCOA).（SeeFDAGuidanceDataIntegrityandComplianceWithCGMPQ&A）

Dataintegrityarrangementsmustensurethattheaccuracy,completeness,contentandmeaningofdataisretainedthroughoutthedatalifecycle.（SeeMHRAGMPDataIntegrityDefinitionsandGuidanceforIndustry）

Dataintegrityarrangementsmustensurethattheaccuracy,completeness,contentandmeaningofdataisretainedthroughoutthedatalifecycle.（SeeMHRAGMPDataIntegrityDefinitionsandGuidanceforIndustry）

a、什么是“数据可靠性”?

数据可靠性是指数据的完整性、一致性和准确性。完整、一致和准确的数据应可归属（attributable）、清晰可辨（legible）、同步被记录（contemporaneously）、为原始（original）或真实有效副本，以及准确（accurate）（ALCOA）

数据可靠性在整个CGMP数据生命周期过程中至关重要，包括数据的创建、修改、处理、维护、归档、检索、传输以及记录保存期结束后处理。系统设计和控制应能在数据生命周期过程中容易地发现错误、遗漏和异常结果。

b.什么是“元数据”?

元数据是理解数据所需的上下文信息。没有关于数据的附加信息，数据值本身是没有意义的。元数据通常被描述为关于数据的数据。元数据是描述、解释或以其它方式更容易地重新获取、使用或管理数据的结构化信息。没有元数据（比如表明单位“mg”）的数字“23”是没有意义的。此外，一条具体数据的元数据可包括数据被采集时所记录的日期/时间戳、执行产生数据的检验或分析人员的用户ID、用于采集数据的仪器ID、物料状态数据、物料标识号和审计跟踪。

数据应在整个记录的保存期与所有重建CGMP活动（例如，211.188和211.194）所需的相关元数据一起被保存。数据及其元数据之间的关系应以安全和可追踪的方式加以保存。

c.什么是“审计追踪”?

审计追踪是指安全的、计算机生成的、有时间戳的电子记录，允许重建有关创建、修改或删除电子记录的事件过程。例如，高效液相色谱（HPLC）运行的审计追踪包括用户名、运行日期/时间、使用的积分参数，以及再处理细节（如果存在的话）。文件记录应包括再处理的更改理由。

审计追踪包括那些对数据创建、修改或删除的跟踪（例如处理参数和结果）以及那些在记录或系统层面的跟踪行动（例如试图访问系统或重命名或删除文件）。

符合CGMP的记录保存做法防止数据丢失或模糊，并确保在执行的同时记录活动（参见211.68、211.100、211.160(a)、211.188和211.194）。电子记录保存系统，其中包括审计追踪，能够支持这些CGMP要求。

d.在与记录格式相关时FDA如何使用术语“静态”和“动态”？

“静态”用于表示固定数据记录，例如纸质记录或电子图像，“动态”指的是允许用户和记录内容进行交互的记录格式。例如，动态色谱记录可以允许用户更改基线、重新处理色谱数据从而使得所得到峰可能更大或更小。它还允许用户更改电子表格中用于计算检验结果的公式或条目，或更改其他信息，如计算出的产量。

e.FDA是如何使用211.68(b)中的术语“备份”？

FDA使用211.68(b)中的术语“备份”来指代在整个记录保存期间（例如，211.180）安全地保存的原始数据的真实副本。备份数据必须是准确的、完整的、安全的，不会被更改、无意的删除或丢失（211.68(b))。备份文件应包含数据（包括相关元数据），并应以原始格式或与原始格式兼容的格式保存。

FDA使用的术语“备份（backup）”与指南”FDA员工软件验证的一般原则“中使用的术语“归档（archive）”是一致的。

临时备份副本（例如，在计算机崩溃或其他中断的情况下）不符合211.68(b)中维护数据备份文件的要求。

f.211.68中“计算机或相关系统”中的“系统”是什么？

美国国家标准学会(ANSI)将系统定义为为完成一组具体功能而组织的人、机器和方法。计算机或相关系统可指计算机硬件、软件、外围设备、网络、云基础设施、人员和相关文件(例如，用户手册和标准操作规程)。

在数据核对方面，并不期望生产商和分析实验室建立辩证的方法，只要建立并执行这样一个系统就可以：这个系统基于数据可靠性风险提供了一个可以接受的控制状态，并且被完整记录的支持性证据。参考：MHRAGXPDataIntegrityGuidanceandDefinitions.

二、FDA建议如何解决数据可靠性问题？

FDA鼓励企业证明，通过调查确定问题的范围和根本原因，对潜在影响（包括对支持FDA提交文件所用数据的影响）进行科学合理的风险评估,以及实施管理策略（包括解决根本原因的全球纠正措施计划），已经有效地整改了问题。这可能包括聘请第三方审计员,对数据可靠性问题的责任人撤销其可能影响CGMP相关数据或药品申请数据的职务。还可能包括改进质量监督、增强计算机系统，以及建立防止数据可靠性问题的重复发生以及解决数据可靠性问题的机制（例如,匿名报告系统、数据管理员和数据管理指导）。

这些预期反映了为注册诚信政策制定了一些做法。有关更详细的信息,请参见“内部审查和纠正措施操作计划要考虑的要点”

三、NMPA药品记录与数据管理要求（试行）

第一条为规范药品研制、生产、经营、使用活动的记录与数据管理，根据《中华人民共和国药品管理法》《中华人民共和国疫苗管理法》《中华人民共和国药品管理法实施条例》等法律、行政法规，制定本要求。

第二条在中华人民共和国境内从事药品研制、生产、经营、使用活动中产生的，应当向药品监督管理部门提供的记录与数据，适用本要求。

第三条数据是指在药品研制、生产、经营、使用活动中产生的反映活动执行情况的信息，包括：文字、数值、符号、影像、音频、图片、图谱、条码等；记录是指在上述活动中通过一个或多个数据记载形成的，反映相关活动执行过程与结果的凭证。

四、中国GMP附录计算机化系统

第二条用计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

五、问答

【FDADataIntegrityandComplianceWithDrugCGMPQuestionsandAnswers】

1.因涉及CGMP记录的术语

2.何时允许无效CGMP结果，并在决定批次符合性时将其排除在外？

3.计算机系统中的每个CGMP工作流均需要进行验证吗？

4.应如何限制对CGMP计算机系统的访问？

5.为什么FDA关注计算机系统共用登录账户的使用？

6.应如何控制空白表格？

7.应由谁来审核审计追踪？

8.审计追踪应多长时间审核一次？

9.电子副本可否用作纸质或电子记录的准确复制品？

10.对于单机计算机实验仪器，例如FT-IR（傅立叶变换红外光谱）仪，保存纸质打印件或静态记录而不是原始电子记录是否可接受？

11.对于主生产和控制记录，可否使用电子签名替代手书签名？

12.电子数据何时成为CGMP记录？

13.为什么FDA在警告信中将“系统适用性”期间或试检、预检或平衡运行期间使用实际样品作为缺陷？

14.仅保留从重新处理的实验室色谱中得到的最终结果是否可接受？

15.与质量问题（例如潜在的数据伪造）有关的内部建议或信息，能否在记录的CGMP质量体系之外非正式的处理？

16.是否应将防止和发现数据可靠性问题的员工培训作为常规CGMP培训计划的一部分？

17.是否允许FDA查看电子记录？

18.FDA建议如何解决数据可靠性问题？

【EMAGMPDataIntegrityQuestionsandAnswers2016/08】

1.Howcandatariskbeassessed?

2.Howcandatacriticalitybeassessed?

3.Whatdoes'DataLifecycle'referto?

4.Whyis'Datalifecycle'managementimportanttoensureeffectivedataintegritymeasures?

5.Whatshouldbeconsideredwhenreviewingthe'Datalifecycle'?

6.'Datalifecycle':Whatrisksshouldbeconsideredwhenassessingthegeneratingandrecordingofdata?

7.'Datalifecycle':Whatrisksshouldbeconsideredwhenassessingtheprocessingdataintousableinformation?

8.'Datalifecycle':Whatrisksshouldbeconsideredwhencheckingthecompletenessandaccuracyofreporteddataandprocessedinformation?

9.'Datalifecycle':Whatrisksshouldbeconsideredwhendata(orresults)areusedtomakeadecision?

10.'Datalifecycle':Whatrisksshouldbeconsideredwhenretainingandretrievingdatatoprotectitfromlossorunauthorisedamendment?

11.'Datalifecycle':Whatrisksshouldbeconsideredwhenretiringordisposalofdatainacontrolledmannerattheendofitslife?

12.IsitrequiredbytheEUGMPtoimplementaspecificprocedurefordataintegrity?

13.Howarethedataintegrityexpectations(ALCOA)forthepharmaceuticalindustryprescribedintheexistingEUGMPrelatingtoactivesubstancesanddosageformspublishedinEudralexvolume4?

14.Howshouldthecompanydesignandcontroltheirpaperdocumentationsystemtopreventtheunauthorisedre-creationofGMPdata?

15.Whatcontrolsshouldbeinplacetoensureoriginalelectronicdataispreserved?

16.Whyisitimportanttoreviewelectronicdata?

17.Isarisk-basedreviewofelectronicdataacceptable?

18.Whataretheexpectationsfortheself-inspectionprogramrelatedtodataintegrity?

19.Whataremycompany’sresponsibilitiesrelatingtodataintegrityforGMPactivitiescontractedouttoanothercompany?

20.Howcanarecipient(contractgiver)buildconfidenceinthevalidityofdocumentssuchasCertificateofAnalysis(CoA)provided