본문 바로가기
규제관리 실무

ISO 13485:2016 기반 공급업체 관리 강화 완벽 가이드

by 의료기기RA 2025. 7. 10.

ISO 13485:2016의 가장 큰 특징 중 하나는 바로 공급업체 관리 요구사항의 대폭 강화입니다. 특히 아웃소싱된 설계·제조·서비스 등 모든 위탁 업무에 대해 제조업체가 적합성을 최종 책임져야 하며, 이를 위해 서면 품질 협약과 위험 기반 통제를 체계적으로 갖춰야 한다고 명시하고 있습니다.

2025년 기준으로, RA 실무자가 반드시 이해해야 할 이유는 다음과 같습니다.

  • FDA 경고서의 40% 이상이 구매 통제 부족을 지적
  • 글로벌 아웃소싱 증가와 복잡해진 공급망
  • EU MDR/IVDR에서 경제 운영자 개념이 도입되어 수입자·유통업체까지 QMS 요구
  • 2026년 FDA QMSR 전환으로 미국 시장도 ISO 13485 기반 공급업체 관리 요구 강화

이제 공급업체 관리는 단순한 평가 단계를 넘어, 조직 전체의 규제 대응력을 좌우하는 전략적 요소가 되었습니다.

✅ ISO 13485:2016의 공급업체 관리 핵심 변화

📌 아웃소싱된 프로세스 (조항 4.1.5)

  • 제품 적합성에 영향을 미치는 프로세스를 외부에 위탁할 때도 적합성에 대한 책임은 제조업체가 유지
  • 공급업체에 대한 통제 수준은 위험도와 능력에 따라 차등 적용
  • 서면 품질 협약서(Quality Agreement) 의무화

📌 구매 프로세스 (조항 7.4.1)

  • 공급업체 평가 기준에 위험 기반 접근법을 명시
  • 공급업체의 성능, 품질 시스템 능력, 위험 수준을 반영
  • 정기적인 모니터링과 재평가 요구

📌 구매 정보 (조항 7.4.2)

  • 구매할 제품이나 서비스에 대한 명확한 요구사항과 변경 통지 절차를 서면으로 규정
  • 계약 문서에 제품 사양, 검사 요구사항, 자격 조건, 커뮤니케이션 방식 등을 포함
  • 변경사항 발생 시 제조사에 사전 통보·승인하도록 합의 필요

🔎 글로벌 공급업체 관리 트렌드 (2025)

  • FDA: 21 CFR 820.50(구매 통제)에서 ISO 13485 기반 QMSR(2026년 시행 예정)으로 전환
    → 품질 협약서, 공급업체 심사, 변경 통지 강화
  • EU MDR/IVDR: 제조사뿐 아니라 공인 대리인·수입업체·유통업체까지 QMS 관리 책임 부여
  • 글로벌 UDI·EUDAMED: 고유식별코드 및 데이터베이스 연계로 공급업체 데이터 추적성 강화
  • MDSAP: 다국적 심사를 위한 공급업체 평가 항목 포함

즉, 전 세계적으로 공급망 전반을 통제하고, 협력사까지 규제 책임을 공유하도록 요구가 강화되고 있습니다.

✅ 공급업체 관리 실무 전략

1️⃣ 위험 기반 분류

  • 핵심 공급업체: 환자 안전·성능에 직접 영향 → ISO 13485, 정기 심사, 품질 협약 필수
  • 중요 공급업체: 중간 수준의 영향 → 기본 품질 협약, 위험 발생 시 심사
  • 표준 공급업체: 영향이 낮음 → 표준 구매 조건, 필요 시 간단한 평가
  • 저위험 공급업체: 최소 영향 → 자격 확인만으로 충분

2️⃣ 품질 협약서(Quality Agreement)

필수 포함 항목

  • 당사자 정보, 적용 범위, 갱신 조건
  • 제품 사양, 검사·시험 기준, 인증서 제출 의무
  • 변경 통지·승인 프로세스
  • 정기적인 성과 모니터링 방법
  • 하위 공급업체 관리 방안

특히 아웃소싱된 프로세스의 경우, 설계 변경이나 공정 변경이 있을 때 즉시 통보하고 승인을 받도록 문서화해야 합니다.

3️⃣ 공급업체 평가·모니터링

  • 승인 전: 자격 심사 → 기술·품질·재정 상태 확인
  • 계약 체결 시: 품질 협약서, 요구사항 명확화
  • 공급 중: 성과 지표(KPI) 기반의 정기 평가
  • 재평가: 부적합 발생 시 즉시, 정기적으로는 연 1회 이상 권장

🧩 디지털 전환: eQMS + 공급업체 포털

최근에는 eQMS(전자 품질관리 시스템)와 공급업체 포털을 통합해

  • 공급업체 성과 모니터링
  • 품질 협약서 버전 관리
  • 변경 승인 워크플로우
  • 심사 일정 관리
    등을 디지털로 자동화하는 사례가 많습니다.

이러한 시스템을 통해
✅ 처리 속도 향상
✅ 데이터 투명성 확보
✅ 감사 대응력 강화
를 동시에 실현할 수 있습니다.

🙋‍♀️ Q&A: 실무에서 자주 묻는 질문

Q1. 기존 ISO 9001 기반의 공급업체 평가로 충분할까요?
A. 충분하지 않습니다. ISO 13485는 의료기기 특화된 규제 기준으로, 위험도 기반 평가·문서화·품질 협약서 등이 추가 요구됩니다.

Q2. 모든 공급업체에 품질 협약을 체결해야 하나요?
A. 위험도가 높은 공급업체(Critical Suppliers)는 반드시 필요하고, 중위험 이하 공급업체라도 명확한 요구사항 전달을 위해 권장됩니다.

Q3. 아웃소싱을 하면 책임을 나눌 수 있나요?
A. 아닙니다. ISO 13485에 따르면 아웃소싱해도 최종 책임은 제조사에 있습니다. 이를 명확히 품질 협약과 절차에 반영해야 합니다.

Q4. 품질 협약서는 계약서와 어떻게 다르나요?
A. 품질 협약서는 품질·규제 요구사항만을 다루는 문서로, 상업적·법적 조건을 다루는 일반 계약서와 구분됩니다.
따로 작성하되, 상호 참조하도록 하는 방식을 권장합니다.

저작자표시 비영리 변경금지 (새창열림)

'규제관리 실무' 카테고리의 다른 글

의료기기 공급계약서와 품질협약서 차이점과 실무 적용  (1) 2025.07.15
ISO 9001 & ISO 13485: 핵심 개념 이해  (3) 2025.07.04
의료기기 양산 제품 변경 관리: ISO 13485 & FDA QSR 기준  (0) 2025.06.29
ISO 13485 기반 검증 vs 밸리데이션 완벽 가이드  (0) 2025.06.24
MDF vs DHF vs DMR: 의료기기 핵심 문서 완전 정리 가이드  (1) 2025.06.19

관련글

티스토리툴바