協助中小企業因應國際綠色產品輔導措施

　　美國衛生部隸屬之醫療資訊科技標準委員會（Health IT Standards Committee）為了因應「2009年經濟復甦暨再投資法」（America Recovery and Reinvestment Act, “ARRA”）的通過，制定了新的電子醫療紀錄的隱私、安全標準，以擴大保護電子醫療紀錄的使用安全。   　　這次制定的電子醫療紀錄的隱私、安全標準，將透過具有足夠防護能力的醫療資訊科技系統標準，來保護電子醫療紀錄的交換，並且擴大適用範圍到醫療照護廠商與提供者，要求其必須在2011年前達到幾項資訊的使用控制標準，包括「醫療保險可攜與責任法」（Health Insurance Portability and Accountability Act, “HIPAA”）與「加密促進標準」（Advanced Encryption Standard）之相關規定，以完備個人電子醫療資訊的保護網。   　　在此次訂立的標準之下，任何人員或是應用程式欲使用與接近電子醫療紀錄，應符合法律所授予的接近與使用之要件。同時，處理個人醫療資訊的系統，也必須具備對個人醫療資訊加密與解密的能力，以保障個人醫療資訊的安全與完整。除了以上的要求，這些標準也要求相關的適用機構，必須在2013年以前完成符合病歷交換格式（HL7）的使用接近控制、安全宣示標記語言（Security Assertion Mark-up Language, “SAML”）、網路服務認證（Web Service Trust, “WS-Trust”）以及促進資訊標準建置組織（Organization for the Advancement of Structured Information Standards, “OASIS”）的機制，以保障醫療資訊的安全。

　　美國環境保護署（Environmental Protection Agency，以下簡稱EPA）於2010年9月17日聯邦政府公報中，依據毒性物質管制法（Toxic Substances Control Act，以下簡稱TSCA）section 5(a)(2)授權，發布了顯著新種使用規則（Significant New Use Rules，以下簡稱SNURs）的最終規則（final rule）。此項規則於2010年10月18日生效，任何想要製造、輸入以及加工單壁奈米碳管（single-walled carbon nanotubes，以下簡稱SWCNTs）及多壁奈米碳管（multi-wall carbon nanotubes，以下簡稱MWCNTs）兩項化學物質者，必須依照TSCA section 5(a)(1)要求，在進行上述利用活動的至少90天前，報經EPA核准，否則不得使用。 　　事實上，EPA曾於前（2009）年6月24日發布上述SNURs的直接最終規則（direct final rule），徵詢公眾意見，並在同年8月21日撤回該規則。在重新提案的規則中，主要是新增SWCNTs、MWCNTs釋放於水中的顯著新種使用態樣，並將已完全反應、結合或嵌入已完全反應之聚合物基（polymer matrix）以及嵌入不再進行機械加工外其他處理之永久硬性聚合物形式（permanent solid polymer form）之SWCNTs、MWCNTs物質，排除在新SNURs適用範圍之外。 　　目前，依照TSCA section 5(e)之規定，若系爭之化學物質已列名於TSCA section 8(b)所建立之現存(existing)化學物質目錄(INVENTORY)中，其他化學物質生產者欲生產該種化學物質時，並不需再向EFA進行通報程序。然而，若EFA對該列名之化學物質曾發出TSCA section 5(e)下之具風險性命令(risk-based order)，則相關之化學物質生產者須於生產前依據TSCA section 5(a)(2)規範中之SNURs規定通報EFA，使得EFA於生產前仍有再次檢驗該系爭化學物質的機會。 　　這一次，EPA以制訂SNURs之方式，要求所有製造、輸入、加工該項化學物質者，有義務通報任何與原同意命令所定條款不同的使用活動。這樣的規範變動，預計將對奈米材料的製造及運用活動造成不小的影響。

　　美國食品藥物管理局（The Food and Drug Administration，簡稱FDA）於2014年7月更新並公布了醫療器材上市前許可（premarket notification）的指引（guidance）（該指引名稱為510(k) Program: Evaluating Substantial Equivalence in Premarket Notification Guidance for Industry and Food and Drug Administration Staff，以下簡稱510(k)指引），針對醫療器材業者將其生產製造的醫療儀器申請上市的過程做了新的調整及規範。此指引主要是讓業界及FDA人員了解FDA在評估醫療器材申請過程中所評估的因素及要點，並藉由FDA在審查醫療器材的實務規範及審查標準來當作標準並訂定510(k)修正，以提高510(k)評估的可預測性、一致性及透明度，讓業界有一定的遵循標準。雖然FDA的指令文件並不受法律強制規範，但可供醫材業者更清楚FDA所重視的審查程序及內容。 　　歐盟對醫療器材上市前之審查亦有相關指令，分別為一般醫療器材指令（Medical Device Directive，簡稱MDD）、活體植入醫材指令（Active Implantable Medical Devices Directive，簡稱AIMDD）及。歐盟規定醫療器材在上市前，必須符合上市前所規定之內容以正當在歐盟、歐洲經濟地區（European Economic Area）及瑞士市場販售使用。然而特別的是，不同於美國上市前的醫療器材由主管機關FDA進行審查，歐洲藥物管理局（The European Medicines Agency of the EU）並不參與醫療器材的審核程序，而是交由歐盟會員國的私人認證機構對醫療器材做評估。

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。