美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引

  美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。

  於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。

  該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。

相關連結
你可能會想參加
※ 美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7649&no=57&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
美國化學營業秘密哪些必須揭露?哪些可以保密?

  為因應有害化學物質所產生之公安事件,2015年6月8號美國職業安全管理局(Occupational Safety and Health Administration,簡稱(OSHA))發佈一項措施,針對具危險性化學物質之運輸過程,規範處理程序,包括製造商須提供物質安全數據表,以及可能具有風險的有害物質說明書等。   為此,OSHA考量到此將影響化學製造商營業秘密保護,遂提出判斷準則,以釐清對於化學製造商而言,何種情況將構成營業秘密,包括:(1)在一定的程度內該資訊是否已被外界所知;(2)在一定程度內,該資訊對於員工或其他參與者是否已知;(3)是否有一定程度對於該資訊內容進行保護措施;(4)該資訊對於競爭對手是否有價值;(5)是否投入大量時間和金錢開發該資訊;(6)該資訊對企業而言是否得被他人簡易取得與複製。   進而在符合上述營業祕密要件時,企業即無須對一般員工(非研發工程師)揭露化學公式等內容,其中包括一般操作人員或者運輸人員等。然而考量到此等人員接觸化學物質情況頻繁,倘若操作人員或者運輸人員工作過程中,因有害但屬營業祕密之化學物質造成意外傷害,為平衡公眾安全與營業秘密之保障,OSHA要求化學製造商必須立即提供醫護人員有害化學物質方程式等內容,但可要求醫護人員簽訂保密協議,藉此兼顧公安與營業秘密之保障。

美國監管醫療用基因檢驗之法制與實務趨勢

美國監管醫療用基因檢驗之法制與實務趨勢 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要   精準醫療多搭配基因檢驗技術的研發與應用,以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言,許多新的醫學檢驗技術在各實驗室中研發,且迅速發展至臨床應用,但必須經過醫療器材上市許可後,始得於實驗室外運用。   美國國會於1976年修正《聯邦食品藥物與化妝法(Federal Food, Drug, and Cosmetic Act)》後,將「體外診斷醫療器材」納入醫療器材的規範,同年美國食品藥物管理署(Food and Drug Administration, FDA)便宣佈對實驗室自行研發之檢驗技術(Laboratory Developed Tests, LDTs)行使「自由裁量權」(Enforcement Discretion),排除於《聯邦食品藥物與化妝法》的管理之外,讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。   換句話說,由於典型之LDTs僅為實驗室內部使用,且測試方式簡易,需求量亦不高,可由「醫療保險與醫療補助服務中心」(The Center for Medicare & Medicaid service, CMS)依據《臨床實驗室改進修正案(Clinical Laboratory Improvement Amendments, CLIA)[2]》之規範,施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後,即可將開發的LDTs進行臨床應用。   然而,1976年迄今,LDTs的發展已經有許多的變化,運作LDTs的實驗室往往獨立於醫療服務機構(Healthcare Delivery Entity)之外,而依賴於許多高科技的儀器、軟體來產生結果及解釋,增加了許多以往沒有的風險;其商業模式也已經大幅的改變,已經大量製造、用於直接的臨床診斷決策上[3]。因此,美國FDA認為有必要引進一個全面性的監管架構管理LDTs,而非像過去一樣,將其排除於《聯邦食品藥物與化妝法》的管理之外。 貳、重點說明   FDA近年來加強基因檢驗風險監管之具體行動,包括LDTs監管架構之研擬以及加強實務取締,以保障病人的權益。 一、LDTs監管架構指引草案   美國FDA曾於2014年公布兩項指導文件,分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」(以下統稱LDTs監管架構指引草案)。LDTs監管架構指引草案希望提升LDTs的規管密度,並規劃將LDTs分為數個不同的類別,依據其風險程度的高低,分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。   該指引草案公布後,受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高,會扼殺臨床實驗室的創新意願,使得實驗檢驗技術、方法與應用停滯,並耗費大量的人力與金錢成本。   美國FDA最後於2017年1月13日說明,短期內不會執行該指引草案內容,但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法,顯示對LDTs的額外監督是必要的,但對於如何監管則有不同看法,未來主管機關應基於下列原則,提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案,重點摘述如下: (一)以風險等級為基礎,並分階段實施監督   之後的四年內將分階段要求LDTs逐步進行上市前審查,第一年實驗室必須回報LDTs所有的嚴重不良反應;第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的上市前審查;第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的510(k)上市前通知;第四年則完成LDTs全面性的監督,並且原則上與醫療器材採取一致標準。 (二)以檢驗之分析效能與臨床有效性,作為核准基礎   目前CMS已有實驗室檢驗之臨床效用(clinical utility)審查,但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故,FDA將制定適合的審查標準,以減輕實驗室提交審查的負擔,並加速上市前審查的審核時間。 (三)不良反應通報系統   將參考既有醫療器材上市後監督機制(postmarket surveillance),監控LDTs在真實世界的效能及臨床結果(real-world performance and clinical outcomes)。 (四)健全實驗室之品質系統   FDA將會密切與CMS合作加強實驗室的品質系統要求,但會與既有CLIA等認證制度相互調和、不會重複監督。 (五)公開檢驗性能資訊供大眾取得   實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊,公開讓民眾可取得。 (六)免除特定類型檢驗之上市前審查   對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務,如:對健康影響較低者、罕見疾病使用之LDTs等。 二、加強基因檢驗之執法 (一)23 and Me遺傳健康風險個人基因體服務   雖然在LDTs規範上,美國FDA暫時未有全盤性的改變;但在個案上,開始有逐步的調整。美國FDA在2013年11月時,發函警告生技公司「23 and Me」,認為其銷售的「個人基因體服務」(personal genome service, PGS)應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材(風險程度最高的醫療器材),但由於其未取得美國FDA的上市前許可,因此應該立刻停售;其後,23 and Me將其旗下的「遺傳健康風險個人基因體服務」(PGS Genetic Health Risk)向美國FDA申請並取得第二級醫療器材許可[7]。 (二)Inova藥物反應基因檢驗   2019年另外一起案例,亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室(Inova Genomics Laboratory)寄發通知函,表示其自行研發之MediMap Plus基因檢驗產品,用於預測病人對藥品的反應與接收度,必須先完成FDA上市前審查程序,始得進行商業販售[8]。   Inova基因體實驗室雖回覆表示,MediMap Plus基因檢驗產品屬於LDTs的範疇,所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後,FDA則直接寄發警告函,申明其並未針對LDTs創設任何責任免除條款,且為了促進公眾安全,FDA對於LDTs保留裁量權[9]。對於FDA的警告,Inova決定停止執行MediMap Plus之販售,也不會申請上市前審查[10]。 三、小結   由於基因檢驗之安全及確效涉及面向十分廣泛,美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範,搭配行之多年的CLIA實驗室品質管理制度,以完備各環節之風險管理。申言之,即便基因檢驗技術僅屬實驗室內應用,並未在外流通,亦屬實驗室品質管理之範疇,必須依據CLIA實驗室分類進行能力測試或實地查核。   其次,美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致,但未來仍將參考醫療器材的風險等級基礎,並盡量提高審查的效率,此趨勢與歐盟新的醫療器材法規[11]一致。 參、事件評析   我國近年來政府與民間在基因檢驗的監管上亦有所討論,特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之,建議我國未來或可釐清不同目的之基因檢驗,如商業用、實驗用、醫療用等,進而明確醫療用基因檢驗之監管密度,並依不同風險程度採取分級監理,以在新技術應用與病人權益保護之間取得平衡。 [1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7. [2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019). [3]呂雅情,〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉,當代醫藥法規月刊,2018/02/09,https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf(最後瀏覽日:2020/01/07),頁17。 [4]Supra note 1, at 7-8. [5]id. at 30. [6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1. [7]何建志,〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉,《月旦醫事法報告》,第25期,頁44-45(2018)。 [8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019). [9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019). [10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019). [11]歐盟2017年5月25正式生效新版醫療器材法規(Medical Devices Regulations, MDR; Regulation (EU) 2017/745)以及體外診斷醫療器材法規(In Vitro Diagnostic Devices Regulations, IVDR;Regulation (EU) 2017/746)。 [12]蔡雅雯、林工凱、黃品欽、謝文祥,〈基因檢驗法規監管方向初探〉,《台灣醫界》,第62卷第12期,2019/12,https://www.tma.tw/ltk/108621207.pdf(最後瀏覽日:2020/02/06)。

日本有關循環經濟新法規「塑膠資源循環促進法」將於2022年4月1日正式上路

  日本率先亞洲地區將於2022年4月1日實施「塑膠資源循環促進法」(プラスチック資源循環促進法),其係著重於產品設計階段至塑膠廢棄物排放、再利用等整個產品生命週期,來促進塑膠資源循環運用,主要措施內容包括: ①抑制塑膠廢棄物的排放、再資源化的環境設計(該法第1、2章) ②一次性利用塑膠產品的使用合理化(該法第3、4章) ③塑膠廢棄物的分類收集、自主回收、再資源化(該法第5、6、7章) 例如:   設計、製造階段,有明示塑膠製產品設計指導方針,可透過減少塑膠用量來製作產品、調整尺寸和形狀方式,進行塑膠製產品之設計,並創建國家優秀設計認定制度,被國家認定之產品,可獲得政府優先購買,會提供消費者資訊使其更容易選擇環保產品。   使用階段則要求企業經營者合理化提供免洗餐具等12種一次性塑膠製產品,其指導方針有是否採取有償方式提供、或是否有回饋措施予拒用免洗餐具之消費者等措施。   塑膠廢棄物處理階段,係指針對排出塑膠廢棄物之企業經營者有責任妥善處理塑膠廢棄物等,倘企業經營者在其選擇之措施中有顯著不足情形,國家會以勸告、命令方式命其改善。   回收、再利用階段,則是針對塑膠回收類型作最小限制,本制度設立了對該塑膠廢棄物進行再商品化的機制,重新修改分類規則,擴大塑膠資源的回收量,且針對回收自治體得補貼地方交付稅等部分費用,減輕其成本。

歐洲法院針對國家安全數據保留政策之隱私權問題作出裁決

  歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案(Data Retention and Investigatory Powers Act 2014;簡稱DRIPA)作出裁決,其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據,並應政府機關指示提供,違反歐盟電子通訊隱私指令(2002/58/EC;E-Privacy Directive),與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利,及第8條個人資料受保護之權利。   詳言之,歐洲法院認為,歐盟電子通訊隱私指令15(1),雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下,可立法採取適當措施予以限制電子通訊之隱私權,但由於流量及位置數據是可以藉由保留數據精確得出個人私生活,並據以建立個人簡介,因此,倘允許「普遍性及無區別性」之要求保留數據,對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害,將導致個人未受任何通知,政府即可要求電信營運商保留數據,使民眾之私生活處於不斷被監視之中。   據此,該裁決進一步指出,立法上須具備特定標準及客觀證據,足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性,且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益,方可限縮歐洲聯盟基本權利憲章所規定之基本權利,且應採取適當保護措施,並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。   然而,歐洲法院之此項裁決見解,在英國脫離歐盟已成定局之情形下,其遵循態度與影響力為何,尚不可知,甚且對於其國內於12月實行,以賦予政府更大權力監控民眾之調查權力法案(Investigatory Powers Act. 2016)之衝擊程度為何,亦值得後續觀察。

TOP