何謂「工業4.1J（Japan Industry 4.1J）」？

　　美國環境保護局（US Environmental Protection Agency）考慮對使用於殺菌或抑菌功效之奈米銀予以列管，這項決定與Samsung推出的洗衣機產品有關，這項新產品強調在洗衣的過程中，加入一種可以殺菌的奈米銀物質（nano-silver），不過這項物質卻被認為可能會釋放對人體及環境有害的物質，導致EPA決定加強管理。 　　奈米技術是有關極小化物質的創造與使用的技術，且極小化物質的尺寸僅比原子大一點，約在一奈米及一百奈米之間，一奈米等於是十億分之一尺，人類的頭髮大約是八萬奈米。除了洗衣殺菌的功能外，奈米銀已因為殺菌的功能而被廣泛用在諸多產品中，包括鞋、襪、儲存容器等等。目前政府與業界一般假設，以既有管理化學物與其他物質的法規來管理奈米物質，尚稱妥適。 　　就在EPA考慮對使用在殺蟲劑中之奈米銀予以列管之際，環境科學專家也呼籲政府及業界應正視奈米物質潛藏的危害，儘速制訂檢測及管制之法規。舉例而言，本（十二）月初在自然雜誌（Nature）所刊登的一篇有關奈米技術安全性挑戰的文章指出，雖然現今許多有關奈米毒性的探討都是基於學說假設，但這些學說其實具有高度的可信度。 　　新近有關奈米物質毒性的研究調查報告更顯示，從細胞培養物及動物體內可發現，奈米物質的大小、表面積、可溶性與其可能的形狀等，均可能與毒性之所以產生的原因有關。專家因此擔心，在研究人員積極推出奈米級產品的同時，恐怕對於奈米物質可能產生毒性的問題，未予以適度的重視。因此，EPA目前跨出的雖僅是管理奈米技術的一小步，但環境專家認為，對於公眾健康與環境安全的保障來說，這代表邁向正確方向的一大步。

近期由於營業秘密議題受到重視，引起廣泛討論，美國實務界律師於彭博社法律專欄（Bloomberg Law Practical Guidance）指出生命科學領域的企業不應僅尋求專利的保護，而應考慮透過營業秘密來保護其部分創新，比如：製造技術、分析工具及方法、配方等，並指出保護營業秘密所應採取的具體措施。 在Mayo Collaborative Servs. v. Prometheus Labs一案中，美國最高法院認為診斷方法並非真正的應用，因此不符合可取得專利的資格；在Ass'n for Molecular Pathology v. Myriad Genetics一案中，美國最高法院認為將天然基因分離的技術不符合可取得專利的資格。由上述判決可以發現，生命科學領域的公司能取得專利的範圍被限縮了，因此該領域的企業應考慮透過營業秘密來保護其創新。 營業秘密相對於專利的優勢在於，專利有保護期限，但營業秘密若未公開揭露則能持續受到保護。另外，根據美國專利法（Patent Act），專利保護之客體限於有用且新穎的發明，但營業秘密保護之客體不僅限於此。不過，以營業秘密保護創新同樣存在風險，比如可能面臨前員工、現任員工將其洩露或是由於合作案導致其被竊取的情況等。 為避免上述情況之發生，企業應採取下列措施，包括： 1. 要求員工簽署保密協議，並於協議中具體說明營業秘密之範圍、保密期限，同時確保員工離職時歸還與營業秘密有關的資訊及設備； 2. 將涉及營業秘密的文件標示為機密； 3. 將機密文件及檔案儲存於上鎖的櫃子或受密碼保護的電腦中； 4. 根據員工的職責，僅允許必要的員工存取營業秘密資訊； 5. 對員工進行教育訓練，使其了解哪些資訊被視為營業秘密而不應洩露； 6. 透過監視設備監控保存營業秘密的位置； 7. 與合作單位簽署合作協議時，確保協議中有明確規定哪些資訊被視為營業秘密、分享營業秘密的方式、保密期限、授權的範圍等。 綜上所述，由於可取得專利的範圍被限縮，生命科學領域的企業應考慮透過營業秘密來保護其部分創新。在以營業秘密保護其創新時，應確保有採取與員工簽署保密協議、識別機密、權限控管、教育訓練、與合作單位簽署合作協議等措施。關於前述營業秘密管理措施之重要內容，企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」，並進一步了解該如何管理，以降低自身營業秘密外洩之風險，並提升其競爭優勢。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　日本文部科學省於２００２年提出產學合作契約範本，實行以來發現內容缺乏彈性，對於共同提交專利申請的共有專利權人能否進行商業化等研發成果歸屬問題規範不清。為此，２０１７年３月日本文部科學省科學技術及學術政策局參考英國智財局發布的Ｌａｍｂｅｒｔ　ｔｏｏｌｋｉｔ等文件，提出１１項合約範本，稱為【櫻花工具包】。 　　該工具的主要目標是期望產學合作從在意權利共有轉為重視研發成果商業化，提出包括大學或企業單獨擁有研發成果、雙方共有研發成果等多類型的合作契約模式，並解析如何從數種模式中選擇最適合的合約範本，盡可能在產學合作契約簽訂前，事先考量研究成果的商業化策略，從而提高研發成果商業化的可能性。當中建議，在進行模型選擇時需考慮以下因素： 對研發成果的貢獻程度。 智財權歸屬於大學的處理方法。 是否有必要通過大學發布研究成果。 研究成果歸屬（大學擁有、企業擁有、雙方共有）。 雙方是否同意智財權共有。 　　此外，為了盡可能使研究成果的智財權更廣泛應用，在參考適用範本時，皆應考量研發成果商業化的靈活性，無論智財權歸屬於大學或企業方，都必須滿足以下的條件： 不限制大學後續研究的可能性。 所有的智財權都要適當的努力使其商業化。 研究成果需在約定的期間內進行學術發表。 　　日本此一工具包之內容對於產學合作研究之推展，提供了更細緻化的指引，或許可為我國推行相關政策之參考，值得持續關注其內涵與成效。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).