서브파트 A - 일반 조항
Sec. 11.1 범위.
(a) 이 부분의 규정은 기관이 전자 기록, 전자 서명 및 전자 기록에 실행된 수기 서명을 신뢰할 수 있고 신뢰할 수 있으며 일반적으로 종이 기록 및 종이에 작성된 수기 서명과 동등한 것으로 간주하는 기준을 설명합니다.
(b) 이 부분은 기관 규정에 명시된 모든 기록 요구 사항에 따라 생성, 수정, 유지 관리, 보관, 검색 또는 전송되는 전자적 형식의 기록에 적용됩니다. 이 부분은 연방 식품의 요구 사항에 따라 기관에 제출된 전자 기록에도 적용됩니다. , 의약품 및 화장품법 및 공중보건서비스법에 의거, 해당 기록이 기관 규정에 구체적으로 명시되지 않은 경우에도 적용됩니다. 그러나 이 부분은 전자적 수단으로 전송되었거나 전송된 종이 기록에는 적용되지 않습니다.
(c) 전자 서명 및 관련 전자 기록이 이 부분의 요구 사항을 충족하는 경우, 유효한 규정에서 특별히 제외하지 않는 한, 기관은 전자 서명을 기관 규정에서 요구하는 완전한 자필 서명, 이니셜 및 기타 일반 서명과 동등하다고 간주합니다. 1997년 8월 20일 이후.
(d) 종이 기록이 특별히 요구되지 않는 한, 11.2항에 따라 이 부분의 요구 사항을 충족하는 전자 기록을 종이 기록 대신 사용할 수 있습니다.
(e) 이 파트에 따라 유지 관리되는 컴퓨터 시스템(하드웨어 및 소프트웨어 포함), 제어 및 수반되는 문서는 FDA 실사를 위해 즉시 이용 가능해야 하며 적용 대상이어야 합니다.
(f) 이 부분은 이 장의 1.326부터 1.368까지에 의해 설정되거나 유지되어야 하는 기록에는 적용되지 않습니다. 이 장의 1부 서브파트 J의 요구 사항을 충족하지만 다른 적용 가능한 법적 조항 또는 규정에 따라 요구되는 기록은 이 부의 적용을 받습니다.
비서. 11.2 구현.
(a) 유지해야 하지만 기관에 제출되지 않은 기록의 경우, 이 부분의 요구 사항이 충족되는 경우 사람은 전체 또는 부분적으로 전통적인 서명 대신 종이 기록 또는 전자 서명 대신 전자 기록을 사용할 수 있습니다.
(b) 기관에 제출된 기록의 경우, 사람은 다음을 조건으로 전체 또는 부분적으로 기존 서명 대신 종이 기록 또는 전자 서명 대신 전자 기록을 사용할 수 있습니다.
(1) 이 부분의 요구 사항이 충족됩니다. 그리고
(2) 제출할 문서 또는 문서의 일부가 공개 문서 번호 92S-0251에서 기관이 전자 형식으로 수락하는 제출 유형으로 식별되었습니다. 이 문서는 문서 기록 없이 전자 형식으로 제출할 수 있는 문서 또는 문서의 일부 유형과 그러한 제출이 수행될 수 있는 기관 수신 부서(예: 특정 센터, 사무실, 부서, 지사)를 구체적으로 식별합니다. 공공 목록에 명시되지 않은 기관 접수 부서(들)에 대한 문서는 전자 형식으로 제출된 경우 공식 문서로 간주되지 않습니다. 이러한 문서의 종이 형식은 공식적인 것으로 간주되며 모든 전자 기록과 함께 제공되어야 합니다. 사람들은 방법(예: 전송 방법, 미디어, 파일 형식,
비서. 11.3 정의.
(a) 법의 섹션 201에 포함된 용어의 정의 및 해석은 이 부분에서 사용될 때 해당 용어에 적용됩니다.
(b) 다음 용어 정의도 이 부분에 적용됩니다.
(1) 법은 연방 식품, 의약품 및 화장품법을 의미합니다(섹션 201-903(21 USC 321-393)).
(2) 기관은 식품의약청을 의미합니다.
(3) 생체 인식이란 개인의 신체적 특징 또는 반복 가능한 행동의 측정을 기반으로 개인의 신원을 확인하는 방법을 의미하며, 이러한 특징 및/또는 행동이 개인에게 고유하고 측정 가능한 경우입니다.
(4) 폐쇄된 시스템은 시스템에 있는 전자 기록의 내용을 책임지는 사람이 시스템 액세스를 제어하는 환경을 의미합니다.
(5) 전자 서명이란 서명자의 신원과 데이터의 무결성을 확인할 수 있도록 일련의 규칙과 매개변수를 사용하여 계산된 발신자 인증의 암호화 방법에 기반한 전자 서명을 의미합니다.
(6) 전자 기록은 컴퓨터 시스템에 의해 생성, 수정, 유지 관리, 보관, 검색 또는 배포되는 디지털 형식의 텍스트, 그래픽, 데이터, 오디오, 그림 또는 기타 정보 표현의 조합을 의미합니다.
(7) 전자 서명은 개인의 수기 서명과 법적 구속력이 있는 것으로 개인이 실행, 채택 또는 승인한 기호 또는 일련의 기호의 컴퓨터 데이터 편집을 의미합니다.
(8) 자필 서명이란 그 개인이 손으로 직접 작성하고 영구적인 형태로 저작물을 인증하기 위해 현재 의도로 실행 또는 채택한 문자 이름 또는 법적 표시를 의미합니다. 펜이나 첨필 등의 필기나 표시 도구로 서명하는 행위는 보존된다. 일반적으로 종이에 적용되는 스크립트 이름이나 법적 표시는 이름이나 표시를 캡처하는 다른 장치에도 적용될 수 있습니다.
(9) 개방형 시스템이란 시스템에 있는 전자 기록의 내용을 책임지는 사람이 시스템 액세스를 제어하지 않는 환경을 의미합니다.
하위 파트 B--전자 기록
Sec. 11.10 폐쇄 시스템에 대한 제어.
전자 기록을 생성, 수정, 유지 또는 전송하기 위해 폐쇄형 시스템을 사용하는 사람은 전자 기록의 진정성, 무결성 및 해당되는 경우 기밀성을 보장하고 서명자가 다음과 같이 서명된 기록을 쉽게 부인할 수 없도록 설계된 절차 및 통제를 사용해야 합니다. 정품이 아닙니다. 그러한 절차 및 통제에는 다음이 포함되어야 합니다.
(a) 정확성, 신뢰성, 일관된 의도된 성능 및 유효하지 않거나 변경된 기록을 식별하는 능력을 보장하기 위한 시스템의 검증.
(b) 기관의 검사, 검토 및 복사에 적합한 사람이 읽을 수 있는 전자 형식으로 기록의 정확하고 완전한 사본을 생성할 수 있는 능력. 전자 기록의 검토 및 복사를 수행할 수 있는 기관의 능력에 대해 질문이 있는 경우 해당 기관에 연락해야 합니다.
(c) 기록 보유 기간 동안 정확하고 즉시 검색할 수 있도록 기록을 보호합니다.
(d) 승인된 개인에 대한 시스템 액세스 제한.
(e) 전자 기록을 생성, 수정 또는 삭제하는 운영자 입력 및 작업의 날짜와 시간을 독립적으로 기록하기 위해 컴퓨터에서 생성된 안전한 시간 스탬프 감사 추적을 사용합니다. 기록 변경은 이전에 기록된 정보를 흐리게 해서는 안 됩니다. 이러한 감사 추적 문서는 해당 전자 기록에 필요한 기간 동안 최소한 보관해야 하며 기관 검토 및 복사에 사용할 수 있어야 합니다.
(f) 적절한 경우 단계 및 이벤트의 허용된 순서를 시행하기 위해 운영 체제 검사를 사용합니다.
(g) 권한이 있는 개인만 시스템을 사용하고, 기록에 전자 서명을 하고, 작업 또는 컴퓨터 시스템 입력 또는 출력 장치에 액세스하거나, 기록을 변경하거나, 작업을 수행할 수 있도록 권한 확인을 사용합니다.
(h) 장치(예: 터미널) 검사를 사용하여 데이터 입력 소스 또는 작동 지침의 유효성을 적절하게 결정합니다.
(i) 전자 기록/전자 서명 시스템을 개발, 유지 또는 사용하는 사람이 할당된 작업을 수행하기 위한 교육, 훈련 및 경험이 있는지 확인합니다.
(j) 기록 및 서명 위조를 방지하기 위해 전자 서명에 따라 시작된 조치에 대해 개인이 책임을 지도록 하는 서면 정책의 수립 및 준수.
(k) 다음을 포함한 시스템 문서에 대한 적절한 제어 사용:
(1) 시스템 운영 및 유지 관리를 위한 문서 배포, 액세스 및 사용에 대한 적절한 제어.
(2) 시스템 문서의 시간 순서 개발 및 수정을 문서화하는 감사 추적을 유지하기 위한 수정 및 변경 제어 절차.
비서. 11.30 개방형 시스템에 대한 제어.
전자 기록을 생성, 수정, 유지 또는 전송하기 위해 개방형 시스템을 사용하는 사람은 생성 시점부터 수신 시점까지 전자 기록의 진정성, 무결성 및 기밀성을 적절하게 보장하도록 설계된 절차 및 통제를 사용해야 합니다. 그러한 절차와 통제는 적절하게 11.10에서 식별된 것들을 포함하고 상황에 따라 기록의 진위성, 무결성 및 기밀성을 보장하기 위해 문서 암호화 및 적절한 디지털 서명 표준의 사용과 같은 추가 조치를 포함해야 합니다.
비서. 11.50 서명 표현.
(a) 서명된 전자 기록에는 다음 사항을 모두 명확하게 나타내는 서명과 관련된 정보가 포함되어야 합니다.
(1) 서명자의 인쇄된 이름;
(2) 서명이 실행된 날짜 및 시간; (3) 서명 과
관련된 의미(예: 검토, 승인, 책임 또는 저자).
(b) 이 섹션의 (a)(1), (a)(2) 및 (a)(3)에서 식별된 항목은 전자 기록과 동일한 제어 대상이어야 하며 사람이 읽을 수 있는 문서의 일부로 포함되어야 합니다. 전자 기록 형식(예: 전자 디스플레이 또는 인쇄물).
비서. 11.70 서명/기록 연결.
전자 기록에 대해 실행된 전자 서명 및 수기 서명은 해당 전자 기록에 연결되어 서명을 잘라내거나 복사하거나 전송하여 일반적인 방법으로 전자 기록을 위조할 수 없도록 해야 합니다.
Subpart C - 전자 서명
Sec. 11.100 일반 요구 사항.
(a) 각 전자 서명은 한 개인에게 고유해야 하며 다른 사람이 재사용하거나 재할당할 수 없습니다.
(b) 조직이 개인의 전자 서명 또는 그러한 전자 서명의 요소를 설정, 할당, 인증 또는 제재하기 전에 조직은 개인의 신원을 확인해야 합니다.
(c) 전자 서명을 사용하는 사람은 그러한 사용 이전 또는 그 시점에 1997년 8월 20일 이후에 사용된 시스템의 전자 서명이 전통적인 수기 서명과 법적 구속력을 가짐을 기관에 인증해야 합니다.
(1) 인증은 종이 형식으로 제출하고 지역 운영 사무국(HFC-100), 5600 Fishers Lane, Rockville, MD20857에 전통적인 수기 서명으로 서명해야 합니다.
(2) 전자서명을 사용하는 자는 기관의 요청이 있는 경우 특정 전자서명이 서명자의 수기 서명과 동등한 법적 구속력을 가진다는 추가 인증 또는 증언을 제공해야 합니다.
비서. 11.200 전자 서명 구성 요소 및 제어.
(a) 생체 인식을 기반으로 하지 않는 전자 서명은 다음을 충족해야 합니다.
(1) 식별 코드 및 암호와 같은 두 가지 이상의 식별 구성 요소를 사용합니다.
(i) 개인이 제어된 시스템 액세스의 단일 연속 기간 동안 일련의 서명을 실행하는 경우 첫 번째 서명은 모든 전자 서명 구성 요소를 사용하여 실행되어야 합니다. 후속 서명은 개인에 의해서만 실행 가능하고 개인만 사용하도록 설계된 최소한 하나의 전자 서명 구성 요소를 사용하여 실행되어야 합니다.
(ii) 개인이 제어된 시스템 액세스의 단일 연속 기간 동안 수행되지 않은 하나 이상의 서명을 실행할 때 각 서명은 모든 전자 서명 구성 요소를 사용하여 실행되어야 합니다.
(2) 정품 소유자만 사용할 수 있습니다. (
3) 실제 소유자가 아닌 다른 사람이 개인의 전자 서명을 사용하려고 시도하는 경우 두 명 이상의 개인이 협력해야 합니다.
(b) 생체 인식에 기반한 전자 서명은 실제 소유자 이외의 다른 사람이 사용할 수 없도록 설계되어야 합니다.
비서. 11.300 식별 코드/비밀번호에 대한 제어.
암호와 함께 식별 코드 사용을 기반으로 전자 서명을 사용하는 사람은 보안과 무결성을 보장하기 위해 제어 장치를 사용해야 합니다. 그러한 통제에는 다음이 포함
되어야 합니다.
(b) 식별 코드 및 비밀번호 발급이 주기적으로 확인, 회수 또는 수정되도록 합니다(예: 비밀번호 노후화와 같은 이벤트를 처리하기 위해).
(c) 분실, 도난, 분실 또는 기타 잠재적으로 훼손된 토큰, 카드 및 식별 코드 또는 암호 정보를 포함하거나 생성하는 기타 장치를 전자적으로 승인 취소하고 적절하고 엄격한 통제를 사용하여 일시적이고 영구적인 교체품을 발행하기 위한 손실 관리 절차를 따릅니다.
(d) 암호 및/또는 식별 코드의 무단 사용을 방지하고 무단 사용 시도를 감지하여 즉각적이고 긴급한 방식으로 시스템 보안 부서 및 적절한 경우 조직 관리부에 보고하기 위한 거래 보호 장치의 사용.
(e) 토큰이나 카드와 같이 식별 코드 또는 암호 정보를 포함하거나 생성하는 장치의 초기 및 주기적인 테스트를 통해 장치가 제대로 작동하고 무단으로 변경되지 않았는지 확인합니다.