歐盟提出智慧醫院防禦網路攻擊建議
歐盟網路與資訊安全局於2016年11月(ENISA)提出醫院導入智慧聯網技術因應資訊安全之研究建議,此研究說明智慧醫院之ICT應用乃以風險評估為基礎,聚焦於相關威脅與弱點、分析網路攻擊情節,同時建立使用準則供醫院遵守。由於遠端病患照護之需求,將使醫院轉型,運用智慧解決機制之際,仍須考量安全防護問題,且醫院可能成為下一階段網路攻擊之目標,醫院導入智慧聯元件的同時,將增加攻擊媒介使醫院面對網路攻擊更加脆弱,因此,報告建議如下:
1.醫療照護機構應提供特定資訊安全防護,要求智慧聯網元件符合最佳安全措施。
2.智慧醫院應確認醫院內之物件及其如何進行網路連結,並根據所得資料採取相應措施。
3.設備製造商應將安全防護納入現有資安系統,並在設計系統與服務之初邀請健康照護機構參與。
在我國部分,2016年9月行政院生技產業策略諮議委員會議中即提到,強調將建立智慧健康生活創新服務模式,提供民眾必要健康資訊及更友善支持環境,同時結合ICT與精密機械及材料,發展智慧健康服務的模式。2016年11月,行政院推動「生醫產業創新推動方案」,藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合,其中在智慧聯網應用下之資訊安全防護議題實屬重要。
本文為「經濟部產業技術司科技專案成果」
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
廖凱民
法律研究員 編譯整理
美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)於2023年7月14日發布《上市後研究及臨床試驗:判定未遵守聯邦食品、藥品和化妝品法案第505(o)(3)(E)(ii)節的正當理由》(Postmarketing Studies and Clinical Trials: Determining Good Cause for Noncompliance with Section 505(o)(3)(E)(ii) of the Federal Food, Drug, and Cosmetic Act)指引草案,說明FDA如何判定處方藥廠商未遵守上市後要求(Postmarketing Requirements, PMRs)的正當理由。 根據聯邦食品、藥品和化妝品法案(Federal Food, Drug, and Cosmetic Act, FD&C Act)第505(o)(3)節,應完成PMR的廠商必須向FDA更新研究或臨床試驗進度的狀態及時間表,例如:提交最終版本計畫書、完成研究/臨床試驗、提交結案報告。廠商若未向FDA更新上述PMR資訊即違反FD&C Act,除非廠商提出正當理由。 未遵守PMR的正當理由應符合下列三項條件: 一、與錯失時程直接相關的情況。 二、超出廠商的控制範圍。 三、當初制定時間表時無法合理預期的情況。 該指引草案舉例說明可能的正當理由及非正當理由,另建議廠商提交年度報告前主動通報PMR進度的狀態,並在預期錯過時程之前儘快提供理由,亦須採取矯正PMR不合規行為的措施,包括立即制定矯正計畫、主動向FDA通報實際或預期的延誤,以及修訂合理的時間表。未遵守PMR的廠商可能會收到FDA的警告信(Warning Letter)或無標題信(Untitled Letter)、不當標示指控(Misbranding Charges)和民事罰款,FDA將根據廠商是否採取矯正措施來確定罰金。 「本文同步刊載於 stli生醫未來式 網站(https://www.biotechlaw.org.tw)」
澳洲P2P業者Kazaa面臨存亡的最後通牒澳洲雪梨聯邦法院於本月 24 日對分散式 P2P 業者 Kazaa 發出命令,要求 Kazaa 營運商 Sharman Networks 必須在 10 日內( 12 月 5 日之前),在其提供下載的軟體中加入關鍵字過濾技術( keyword filter system ),否則應立即停止營運。市場人士普遍認為 Kazaa 暫時停止營運的可能性相當地高。 源起於去年底澳洲當地唱片業者控告 Kazaa 一案,今年 9 月 5 日澳洲聯邦法院認定 Kazaa 營運商 Sharman Networks 構成著作權侵害,除判決唱片業者勝訴外,法院並判定 Kazaa 必須在 2 個月內修改其軟體程式,加入相關過濾技術,以避免使用者傳輸違法音樂檔案;另一方面,判決賦予唱片業界得提交 3000 個關鍵字名單 ( 包括了曲目及歌手姓名 ) 要求 Kazaa 加以過濾的權利,該名單並得每兩週加以更新。 直至本月 24 日, Kazaa 仍表示其無法控制高達 100 萬使用者的個人行為,拒絕修改其提供下載的 P2P 軟體,導致聯邦法院不得不下達最後通牒。 Kazaa 營運商 Sharman Networks 雖已提起上訴,但在現時關鍵字過濾技術實施不易之下,澳洲 Kazaa 恐將步上已於本月 7 日關閉的 Grokster 後塵。
半導體面板設備 進口將免關稅工業局預計明年和財政部研商修改海關進口稅則,給予廠商進口國內無產製的半導體、面板設備的關鍵零組件時,免課關稅的優惠,以提升國內兩兆產業自給率,在2008年分別提升至25%和50%的水準。包括奇美、彩晶、華映等面板廠都對提高設備自給率很有興趣。工業局指出,全球面板業市場,已成為我國和韓國互相較勁的局面,韓國目前設備自給率已達40%,並計畫在2008年達到80%水準,但我國面板設備自給率目前只有12%,不但主控權掌握在外國設備廠手裡,利潤也被賺走。如果國內面板廠可以提高設備自給率,可以節省成本30%至50%,獲利將可以大幅提高。 工業局表示,由於我國半導體與平面顯示器兩兆產業在晶圓代工帶動下及筆記型電腦與LCD顯示器的大量需求下持續成長,除產值大幅成長外,在設備需求上,台灣將分別占有15%及40%以上的全球市場,國內每年設備投資總額也將高達2,000億元以上,但是卻有九成以上仰賴進口。除了以租稅減免,提高國內面板及設備業者投入設備研發、生產的誘因外,工業局明年起每年也將投入近億元的經費,以科專計畫、主導性新產品研發補助等,協助國內設備業者提升研發及生產能力。 由於我國已成為全球半導體及面板的重要生產廠商,每年進口設備金額十分龐大,工業局也將運用此優勢,吸引國外大廠來台設立研發中心或與國內設備業者合作,投資生產製程設備。為鼓勵兩兆產業中心廠使用國產設備,對使用國產設備達一定比例之廠商,工業局也將研議相關的獎勵措施。
英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。 此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。 此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。