关于数据治理和数据完整性的FDA警告信分析

背景

过去几年，数据治理和数据完全性的问题成为监管部门执法行动中的突出问题。监管部门审查了数千页的原始提交数据和涵盖GXP更广泛领域的补充说明数据，检查人员在批准前检查和常规检查中现场审查了生产及检测数据。由于没法审查所有的生成数据，检查人员不能不选择信任企业，相信企业准确地记录保存了所有数据并适合解决了所有出现的问题。但是，当监管部门发现数据保存期间存在数据造假、破坏原始记录和缺少控制纸质和电子文件记录的能力等问题时，企业将失去这类信任。出现上述问题时，企业通常会承受严重后果，包括正告信、出口正告、召回和同意判决协议。

超过15年之前，FDA发布正告信中的就已包括：未验证计算机化系统、未审查实验室计算机化系统的审计追踪、未能保存电子记录和未对数据丢失展开调查这类问题。虽然FDA在初期执法中就已引领公众关注数据治理和数据完全性，但全球卫生监管部门在检查中捕捉并辨认类似缺点的工作才刚刚起步。2015年至2016年，大约80%的FDA正告信含有数据完全性问题，欧盟GMP不合规报告中大约有70%也具有类似问题。

2016年有数据完全性和数据治理缺点的FDA正告信分析

以下对2016年数据治理和数据完全性缺点的药品GMP正告信的解读应作为1种资源，帮助GMP检查人员和企业QA工作人员评估企业和合同场所在数据治理和数据完全性领域的不足。

表1 为2016年发布的含有数据完全性缺点的正告信列表，其中列出了正告信发布日期和生产机构所在国家。列表中的前两封正告信是2015年检查，2016年发布的，因此仍作为2016年发布的正告信进行分析。表中对国家1列作出色彩标记，所有欧洲国家设定为同1组，以同1色彩表示。

表1 2016年有数据完全性缺点的正告信

表2 列出了各个国家2016年和2015年收到的正告信数量。2016年，中国收到的本类型的正告信最多，印度紧随其后。值得注意的是，在2016年，有7家美国企业收到数据完全性缺点的正告信，而2015年则没有收到此类正告信。巴西和日本2016年新出现了数据完全性问题，分别收到了3封和2封正告信。图1 以图形的情势表达了相同的信息。

表2 各国有数据完全性问题的正告信

图1 各国有数据完全性问题的正告信（2015年到2016年）

图2 按国家分类，抓取了2008年到2016年的数据。有些国家长时间出现这类问题，包括美国、中国、印度和欧洲国家。少数国家仅在某1年或两年中出现这类问题。值得注意的是，除2013年、2014年和2015年外，美国每年都收到了有数据完全性缺点的正告信，且美国在2016年最频繁收到该类正告信的国家中排名第3。

图2 各国有数据完全性问题的正告信（2008年到2016年）

表3 列出了正告信中援用的法规条例。2016年辨认出的很多缺点没有援用治理条例。许多是“结论”或“数据完全性修复”唆使，且企业必须对FDA的唆使回复。很多正告信是对API生产商发布的且没有援用21CFR211（该条适用于成品药）。除下表中的援用条款外，这些条款分别被援用1次：211.100(b)、1271.50(a)、211.165(e)、211.180(e)、211.137(a)、211.180(a)、211.101,211.186(a)和211.42(c)。与过去15年多1样，FDA1直专注于补充规则（predicaterules）的履行。

甚么是补充规则？

以电子情势保存记录或提交信息应符合21CFR第11部份关于创建、修改、保存、保护、贮存或传输的要求。21CFR第11部份也适用于根据FD&CA、公共卫生服务法案（PHS）提交的电子记录，即便对这些记录要求未在FDA法规中被明确规定（21CFR第11.1(b)条）。指南《电子记录和电子签名的范围和利用》中，将FD&CA、PHS和除21CFR第11部份之外的FDA条款对电子记录和电子签名的要求统称为“补充规则”[1]。

表3 2016年最常援用的条款

企业应如何避免出现数据完全性问题？

21CFR第11部份——电子记录和电子签名迄今为止已发布20年，但是我们却看到愈来愈多的针对电子记录中数据完全性的执法行动。近两年来，大约80％的FDA正告信中援用了数据完全性，其他国家监管机构也愈来愈多地参与进来。英国MHRA最早加入，其2015年发布数据完全性指南并于2016年发布修订草案。EMA、WHO、PIC/S、澳大利亚、和中国2016年加入。另外，数据完全性问题不但限于GMP领域，目前还包括GCP领域。该领域的数据完全性问题突出表现在生物利用度和生物等效性的研究场地。对有这类问题的企业来讲，数百种产品将会遭到影响，援助商必须斟酌数据是不是值得信任，并必须立即在其他场地再次展开研究。

那末在监管机构参与之前，企业应如何预防、发现并修复这类问题？

（1）发展并保持1种鼓励上报毛病，其实不施以惩罚措施的企业文化。

（2）以监管部门的检查要求严格规范数据生成的每一个进程。

（3）浏览并理解相干法规和指南的目的和适用范围。特别是WHO指南和MHRA指南，其中罗列了适用于大部门监管机构的案例。

（4）监测执法行动，包括483表、正告信、出口正告、欧盟GMP不合规报告和WHO的通知。以上所有的执法行动，除483表外都可以在网上取得，483表可以通过商业渠道取得。大多数监管部门在行业贸易团体会议上将介绍当前情况，他们的会上展现提供了更多的信息。应将这些信息利用于企业内部和外部的GxP审计计划中。

（5）记住数据完全性适用于纸质记录，也适用于纸质记录和电子记录交叉的部份。

（6）不要将GXP计算机化系统的合规责任都归到IT部门。他们的确具有该领域的技术专业性，但可能其实不了解GMP要求。IT部门和质量部门等多个利益相干方都应参与这1进程。

（7）GxP数据被认为有价值，且必须在其生命周期内准确、可信、和安全的情况下，企业应制定并实行数据治理进程。

（8）详细记录所有计算机化系统的数据和程序流程，包括GMP部份、实验室系统和生产系统的企业系统中的所有数据和程序流程。这些信息是辨认和实行基于风险的行动的关键。

（9）采取基于风险的方法验证系统的预期目的。系统包括计算机硬件、软件、周边装备、网络基础设施、操作人员和相干文件（包括标准操作程序）。仅购买符合21CFR11规定的软件是不够的，没法解决出现的其他问题。

（10）根据补充规则要求，和监管部门的数据治理/完全性指南评估系统不足。确保基础问题、原始数据及关键元数据被审查。

（11）对肯定的不足的地方实行临时控制措施，记录并确认控制措施是不是充分，并实行计划时间内能够到达完全合规的解决方案。

（12）修复数据完全性问题可能要付出大量金钱和时间本钱。在此进程中也可能出现其他的问题，不要期待立即完成修复，这个进程通常会10分漫长

最近几年检查中发现的新缺点

2015年到2016年，80%的FDA正告信存在数据治理和数据完全性问题，其中包括对国内和国外场地签发的正告信。这类问题很多都与1999年到2006年间发现的问题类似，包括：未根据预期目的验证计算机化系统、缺少避免未授权使用者进入计算机化系统的控制措施、在检测中未评估所有的原始数据（包括审计追踪）并将检测结果作为批放行决定的1部份。

近几年FDA检查人员接受了该领域的规范培训，更好地理解了GXP计算机化系统和其功能，并辨认出了新的缺点，包括:

（1）注水实验作为完全样本检测的1部份时，在实验使用实际样本进行视察，且实验失败时忽视OOS结果。

（2）为掩盖数据的修改或删除，关闭色谱数据系统中的审计追踪功能，然后重新打开。

（3）擅自修改日期/时间，以显示样本在不同的日期被检测。

如何取得有关数据治理和数据完全性的信息？

如21CFR11所述，数据完全性和数据治理不再是只属于IT部门的深奥话题，企业中制定或完成官方GXP记录的每一个人都应了解并实行职责。忽视数据治理和数据完全性的企业不论在专业性还是财务方面都面临很大危险。据报导，有企业为修复该问题花费数千万美元，不但造成销售亏损更失去了发展机会。因此，严肃对待数据治理和数据完全性的合规问题并将其正式纳入质量体系迫在眉睫。

对企业而言，有关数据治理和数据完全性的信息可以通过两个渠道取得。第1个渠道为卫生监管法规和指南。这些法规指南对数据治理和数据完全性有明确要求和指点并被广泛利用。执法行动也是公然发布的，可以作为理解监管部门要求和教育和培训员工的良好工具。第2个渠道为Rx⑶60数据完全性图书馆。Rx⑶60是专注于供应链安全性的国际制药供应链同盟，它开发的数据完全性图书馆中含有全球法规和指南、监管机构提供的幻灯片，和大量关于数据治理和数据完全性的文章。企业需要了解的大部份关于此领域的信息都可以从这两个资源渠道中取得。

参考文献

[1]FDA..Guidance for Industry Part11,Electronic Records;Electronic Signatures-Scope and Application [EB/OL].https://www.fda.gov/regulatoryinformation/guidances/ucm125067.htm,2016-01⑴5（2017-07⑴8）

（作者：Barbara Unger 编译：冯霄婵 沈阳药科大学国际食品药品**与法律研究中心）

标签：