國際因應智慧聯網環境重要法制研析－歐盟新近個人資料修法與我國建議

　　為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性，日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 　　在第4次行動計畫，關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量，盡量減少關鍵基礎設施IT故障的發生，並提升從事故中恢復的速度。因此，第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外，較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面，要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面，分享的資訊範圍應包含IT、OT與IoT的資訊，並排除資訊分享的障礙。而在風險管理部分，日本從功能保證的觀點出發，新增風險情況對應準備的要求，包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上，該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 　　另外，第4次行動計畫變更電力領域關鍵基礎設施的重要系統，從原有的運轉監視系統變更為智慧電表，以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。

　　歐盟自2009年6月通過並於同年8月生效之「第723/2009號歐盟研究基礎設施聯盟法律架構規則」（COUNCIL REGULATION (EC) No 723/2009 of 25 June 2009 on the Community legal framework for a European Research Infrastructure Consortium (ERIC)，簡稱第723/2009號規則），其乃希望能促進各會員國間各自分散的研究基礎設施（Research Infrastructures，簡稱RIs）之資源凝聚及共享，讓原本僅為設施設備的RIs整合起來，透過由3個以上歐盟會員國作為某特定ERIC成員之方式，依第723/2009號規則向歐盟執委會提出ERIC設立申請，經執委會同意後，ERIC即可取得獨立法律地位及法律人格，以自己名義獲得、享有或放棄動產、不動產及智慧財產，以及締結契約及作為訴訟當事人，並得豁免無須被課徵加值稅（value added tax）和貨物稅（excise duty）等稅賦。歐盟創設ERIC法律架構之目的，是希望能透過國際合作、彙集國際資源，在歐盟建立起頂尖研發環境，吸引跨國研發活動集中與進駐，利用規模化的大型研究基礎設施導引出世界級研發。 　　截至目前，由奧地利、比利時、捷克、德國、荷蘭等國作為成員及瑞士作為觀察員所建立之「歐盟健康、老化及退休調查」（The Survey of Health, Ageing and Retirement in Europe，簡稱SHARE），乃是歐盟首次提出申請且正式設立之ERIC。SHARE-ERIC乃一大型的人口老化多國研究資料庫，並已收錄45,000筆以上年齡50歲以上個人之健康、社經地位及社會家庭網絡之跨領域及跨國籍資料，SHARE-ERIC之資料分析除將有助歐盟國家就老化社會之福利系統為規劃，更預期將成為推動其活動及健康老化歐盟創新伙伴試行計畫之重要基石。 　　除此之外，自2008年起由歐盟撥款500萬歐元籌備成立之「生物銀行及生物分子資源研究基礎機構」（Biobanking and Biomolecular Resources Research Infrastructure，簡稱BBMRI），從2008年至今（2011）年1月底3年籌備期間，已募得30個以上國家之53個會員聯盟以及280個聯繫組織（大部分為生物銀行），預計將建立成為最大的泛歐生物銀行，病患及歐盟人口之樣本與資料之介面，以及頂尖生醫研究之介面，且為了要BBMRI-ERIC，BBMRI指導委員會業已擬定「BBMRI-ERIC備忘錄」提供予有興趣之會員國家簽署，希望能在今年底前成立BBMRI-ERIC。

日本也有EUA了！新修《藥機法》通過藥物緊急許可制度 資訊工業策進會科技法律研究所 2022年06月13日 　　去（2021）年12年底日本厚生勞動省發布「緊急時藥物許可制度總結[1]」（緊急時の薬事承認の在り方等に関するとりまとめ）文件，就日本藥物緊急許可制度（緊急承認）進行提案，並建議修法。接著，以該制度為中心之《藥物及醫療器材品質、有效性及安全性確保法》（医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律）（下稱藥機法）修正案，在今（2022）年3月經眾議院通過，4月經參議院通過成立，5月20日公布並即日開始發生效力[2]。主要條文規範在新法第14條之2之2及第23條之2之6之2。 壹、立法背景說明 　　修法之前，日本藥物上市審查有四種管道：一般許可（通常承認）、先驅審查指定制度（先駆け審査指定制度）、附條件許可（条件付き承認）、特例許可（特例承認）。「一般許可」係無特殊情形下之通常上市管道；「先驅審查指定制度」是針對治療嚴重疾病的劃時代創新藥物所創設之優先審查制度[3]；「附條件許可」則是針對有效治療方法少、患者數量少的嚴重疾病的藥物審查制度[4]；若遇緊急事件需使用藥物則是走「特例許可」管道使藥品能提早上市[5]。 　　根據去年日本厚生勞動省之調查[6]，在傳染病大流行等類似緊急情況之下，日本當時對於藥品核准的對應方式存有兩大問題。 　　首先是對應的速度不夠快。在緊急狀況下，對於疫苗及藥物等的優先核准制度，即使是日本當時最快的「特例許可」管道，相較於歐美也較為耗時。以對抗新型冠狀病毒的莫德納疫苗為例，該疫苗在美國取得緊急使用授權（Emergency Use Authorization，下稱EUA）之後，約過了5個月才在日本獲得承認；而新型冠狀病毒的治療藥物Sotrovimab於日本國內的核准也晚於美國4個月[7]。 　　其二是特別許可的適用對象較窄，「特例許可」管道是為已在國外流通之藥品而設計，因此若是日本藥廠自行研發的疫苗、藥物或是療法，均無法依此管道上市。如日本藥廠塩野義所開發的新型冠狀病毒口服藥，即需要透過附條件許可之制度，或新的緊急許可制度加快上市速度。 　　鑒於前述原因，日本厚生勞動省參考美國EUA，提出了藥物的「緊急許可制度」。此二制度最大共通特點在於其均非藥品的正式上市制度，通過審查之後僅能在一定期間內上市流通，到期之後原則上應下架[8]。 貳、重點說明 　　緊急許可制度有四大重點[9]，說明如下： 　　一、發動要件：為防止重大影響國民生命和健康之疾病蔓延，及防止其他健康損害狀況的擴大，有緊急使用之必要，且無使用該藥物以外替代手段時，得申請緊急許可。此處所稱之藥物包括了疫苗、治療藥物、普通藥品、醫療器械等產品。且緊急情況並不限於大規模流行性疾病，核事故、放射性污染、生化攻擊等情況亦適用緊急許可制度。 　　二、運用標準：在臨床試驗確認安全性的前提下，可以不需要完成有效性的完整試驗，得僅就現有的數據及資訊進行有效性之推定。舉例而言，若在海外進行的大規模驗證臨床研究中獲得了顯著的結果，則以日本受試者為主的臨床研究結果為非必要。 　　三、核准條件及期限：由於在有效性的階段給予核准，為了確保正確使用核准的藥物，應附上條件以及二年內之期限（有再延長一年之可能）。獲得許可後一定期限內若無法確認有效性，且判斷該醫藥品或器材不適合維持許可狀態時，將撤銷許可。 　　四、加速特別措施：對GMP檢驗、國家認證、容器包裝等採取特殊措施以加快核准速度。如在申請緊急許可當下，GMP檢驗有實施上困難，可以先暫緩，待核准後再補上檢驗程序。 參、與現存制度差異評析 　　特例許可是在緊急許可推出之前，在緊急情況下能在短期間內讓藥品上市之方式。特例許可是藥品正式上市流程，而緊急許可是在符合條件後暫時性准許上市，故兩者在範圍、運用基準以及期限等規定上存有明顯差異。 　　首先在範圍方面，特例許可係為了已在國外流通的醫療用品引進國內而設置，因此日本國內企業自行研發的新疫苗或是新治療藥等，無法透過特例許可上市[10]，原則上需要透過一般藥物上市管道，因此新制度對於日本藥廠來說，形同多開闢了一條產品上市的道路。其次，在運用基準方面，特例許可應完整確認安全性及有效性，無法如新制般能僅由現存數據及資料推定該藥物之有效性[11]，因此新制可以縮短臨床試驗所花費的時間。最後，由於特例許可為正式之上市許可，僅在簡化一般藥物之審查流程至2-3個月，故其無有效期間之規定[12]，而依新制度上市之藥品在有效期間內仍須完成剩下的臨床試驗，否則期限屆至時原則上應下市。 肆、未來展望 　　由於緊急許可制度剛修法通過，日本國內目前尚未有以此管道核准上市之藥物或疫苗，因此核准程序所花費之時程，能否成功縮短至如美國EUA的三週內尚未可知。目前最有可能以此管道核准上市之藥物為日本藥廠塩野義的新型冠狀病毒口服藥，審查結果預計於7月發表[13]，其發展究竟如何，值得我們拭目以待。 [1] 〈緊急時の薬事承認の在り方等に関するとりまとめ〉，厚生勞動省，https://www.mhlw.go.jp/content/11121000/000873996.pdf（最後瀏覽日：2022/06/12）。 [2] 日本參議院網站，https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208042.htm（最後瀏覽日：2022/06/12）。 [3] 〈先駆的医薬品等指定制度（先駆け審査指定制度）〉，獨立行政法人醫藥品醫療機器總合機構，https://www.pmda.go.jp/review-services/drug-reviews/0002.html （最後瀏覽日：2022/06/27）。 [4] 〈医薬品条件付早期承認制度への対応〉，獨立行政法人醫藥品醫療機器總合機構https://www.pmda.go.jp/review-services/drug-reviews/0045.html （最後瀏覽日：2022/06/27）。 [5] 同前註1。 [6] 同前註1。 [7] 〈緊急時の薬事承認の在り方について〉，厚生勞動省，https://www.mhlw.go.jp/content/11121000/000856077.pdf（最後瀏覽日：2022/06/12）。 [8] 同前註。 [9] 〈令和４年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律（薬機法）等の一部改正について〉，日本厚生勞動省網站，https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00006.html（最後瀏覽日：2022/06/12）。 [10] 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律（昭和三十五年法律第百四十五号）第14條之3第2項。 [11] 同前註4。 [12] 周晨蕙、施雅薰，《科技法律透析》，〈COVID-19疫情下我國藥事法專案核准制度議題-以國際藥物緊急核准上市機制為借鏡〉，第33卷第10期，頁58（2021）。 [13] NHK，〈コロナ飲み薬 塩野義製薬「ゾコーバ」有効性や副作用 承認の可否は〉，2022/06/23，https://www.nhk.or.jp/shutoken/newsup/20220623a.html （最後瀏覽日：2022/06/27）。

新加坡金融管理局（Monetary Authority of Singapore，下文簡稱MAS）於2024年5月29日發布《資料治理與管理實務》（Data Governance and Management Practices: Observations and Supervisory Expectations From Thematic Inspections）文件。此文件係根據MAS於2022年至2023年期間針對國內系統性重要銀行（Domestic Systemically Important Banks，下文簡稱D-SIBs）進行「資料治理與管理架構」的主題式檢查結果加以研究與分析而作成，其內容包含MAS對於資料治理的期望、受檢銀行的優良實踐範例及缺失，希望未參與檢查的銀行與金融機構也能根據這份文件進行適當的改善措施。 MAS在《資料治理與管理實務》文件中提出關於五大主題的監管期待，簡要說明如下： 1.董事會和高階管理層的監督： 董事會和高階管理層應加強監督資料治理。例如，定期向董事會報告資料管理領域的重要問題；高階管理層應即時獲得準確且完整的相關資訊，並對資料風險進行分析。 2.設置資料管理單位： 銀行應建立資料管理單位，並為資料管理辦公室提供明確的任務授權，以利其監測資料的品質。 3.資料品質之管理與控制： 銀行應建立資料品質管理架構與流程，以確保資料在整個生命週期中是有品質的。例如，建立有效控制資料流的機制；建立資料品質指標或計分卡；使用終端使用者運算工具（end-user computing tools）處理資料時，應納入風險評估和控制架構來管理。 4.資料品質控制資料之問題識別與升級： 銀行應制定升級標準和行動計畫，以改善資料品質。另外MAS也建議銀行應該要有強大且完整的資料譜系（data lineage）來辨識資料問題並將之改善。 5.BCBS 239原則之擴大適用：BCBS 239原則係巴賽爾銀行監理委員會（the Basel Committee on Banking Supervision）第239號規範：《有效風險資料聚合及風險報告原則》（Principles for effective risk data aggregation and risk reporting），適用於全球的系統性重要銀行（Global Systemically Important Banks），巴賽爾銀行監理委員會同時建議D-SIBs宜遵循此原則，因此MAS亦要求新加坡境內7家D-SIBs須遵守BCBS 239原則的相關規範。此外，MAS仍期待各銀行與金融機構可以擴大BCBS 239原則的適用範圍，例如在範圍內報告（in-scope reports，或稱主要風險報告）中納入反洗錢、稅務管理等面向。由於金融服務是一個由資料驅動的產業，資料已然是金融業重要的戰略資產。MAS期盼這份文件能夠讓所有銀行及金融機構提升其資料治理能力，並針對內部的問題進行改善。