日本發布關鍵基礎設施資訊安全對策第4次行動計畫

  為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。

  在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。

  另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。

相關連結
你可能會想參加
※ 日本發布關鍵基礎設施資訊安全對策第4次行動計畫, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7814&no=64&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
客戶機密資料外洩事件頻傳 美國AT&T 8月底也被駭

  美國資安事件頻傳,美國 8/30 驚傳電信及電報公司( AT & T )購物網站中之顧客消費資料遭駭客竊取事件。 AT & T 發言人表示工程師在發現異狀後一個小時內關閉該網站並已採取相關保護措施,據 AT & T 估計約 1 萬 9 千名在該網頁上以信用卡消費的顧客機密資料已外流,目前該公司正進行通知客戶之動作,並聯繫相關信用卡公司,期能將對顧客之損害降至最低。   AT & T 通知當事人之作法,符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外,今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編( title 44 )修正提案,該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務,以避免當事人因此蒙受損失。   雖然法規要求漸趨嚴格、完整,但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計,美國自去年 2 月起至今年 8 月底止,約有 9100 萬人次之機密資料遭到竊取,換言之,約 1/3 的美國人機密資料曾遭竊取或外洩,網際網路與駭客技術的發展使得機密資料今日已不再機密了。

美國規劃推動「供應鏈之星」計畫,國會提出「節能暨產業競爭力法」並審議

  美國國會於2013年4月提出「節能暨產業競爭力法」(Energy Savings and Industrial Competitiveness Act of 2013)草案,並進行審議。該草案由參議員Shaheen女士及Portman先生共同提出,於二讀後交付予參議院「能源暨自然資源委員會」(the Committee on Energy and Natural Resources)進行討論表決。委員會於2013年5月13日以多數決批准該草案並修正若干條款,全案排入美國國會第113會期等待表決。   本草案屬於包裹式立法,旨在提昇住宅及商用建築並產業等多面向之能源節約,共分成四個章節:   首先對於提昇產業生產競爭力領域(Industrial Efficiency and Competitiveness),加強產業轉型,草案中修正「能源獨立及安全法」(Energy Independence and Security Act of 2007)、「能源政策及管理法」(Energy Policy and Conservation Act,並刪修「2005年能源政策法」及「1992年能源政策法」若干條款。計劃在能源部下,成立「供應鏈之星」(Supply Star Program) 計畫,推動整體產業供應鏈之能源效率,達節能、節水或其他自然資源目的。   其次,在建築(Buildings)領域,草案乃修正「能源管理及生產法」(Energy Conservation and Production Act),更新「模範建築能源規範」(model building energy codes);就住宅建築及商用建築,分別以「2009國際能源管理規範」 (International Energy Conservation Code, IECC)及「ASHRAE標準90.1-2010」作為基準,並將經濟成本效益納入考量。   以及在私用商業建築效率提升融資機制(Private Commercial Building Efficiency Financing)上,能源部將啟動「商業建築能源融資倡議」(Commercial Building Energy Financing Initiative),在州的層級,擴大私部門及商業建築進行能源效率翻新工程之補助範疇。   第四,關於聯邦公部門機關之能源效率(Federal Agency Energy Efficiency),草案乃修正「國家能源管理政策法」(National Energy Conservation Act),討論將在聯邦公部門建築導入資通訊科技(ICT),推動能源效率及節約。   本草案就公部門及私部門能源效率之提升皆有著墨,觀察該草案目前已獲得美國商會等數百位企業團體支持。若本會期能順利通過,勢必對於既有能源法制產生一定之變革,相關趨勢當值留意之。

美國監管醫療用基因檢驗之法制與實務趨勢

美國監管醫療用基因檢驗之法制與實務趨勢 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要   精準醫療多搭配基因檢驗技術的研發與應用,以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言,許多新的醫學檢驗技術在各實驗室中研發,且迅速發展至臨床應用,但必須經過醫療器材上市許可後,始得於實驗室外運用。   美國國會於1976年修正《聯邦食品藥物與化妝法(Federal Food, Drug, and Cosmetic Act)》後,將「體外診斷醫療器材」納入醫療器材的規範,同年美國食品藥物管理署(Food and Drug Administration, FDA)便宣佈對實驗室自行研發之檢驗技術(Laboratory Developed Tests, LDTs)行使「自由裁量權」(Enforcement Discretion),排除於《聯邦食品藥物與化妝法》的管理之外,讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。   換句話說,由於典型之LDTs僅為實驗室內部使用,且測試方式簡易,需求量亦不高,可由「醫療保險與醫療補助服務中心」(The Center for Medicare & Medicaid service, CMS)依據《臨床實驗室改進修正案(Clinical Laboratory Improvement Amendments, CLIA)[2]》之規範,施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後,即可將開發的LDTs進行臨床應用。   然而,1976年迄今,LDTs的發展已經有許多的變化,運作LDTs的實驗室往往獨立於醫療服務機構(Healthcare Delivery Entity)之外,而依賴於許多高科技的儀器、軟體來產生結果及解釋,增加了許多以往沒有的風險;其商業模式也已經大幅的改變,已經大量製造、用於直接的臨床診斷決策上[3]。因此,美國FDA認為有必要引進一個全面性的監管架構管理LDTs,而非像過去一樣,將其排除於《聯邦食品藥物與化妝法》的管理之外。 貳、重點說明   FDA近年來加強基因檢驗風險監管之具體行動,包括LDTs監管架構之研擬以及加強實務取締,以保障病人的權益。 一、LDTs監管架構指引草案   美國FDA曾於2014年公布兩項指導文件,分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」(以下統稱LDTs監管架構指引草案)。LDTs監管架構指引草案希望提升LDTs的規管密度,並規劃將LDTs分為數個不同的類別,依據其風險程度的高低,分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。   該指引草案公布後,受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高,會扼殺臨床實驗室的創新意願,使得實驗檢驗技術、方法與應用停滯,並耗費大量的人力與金錢成本。   美國FDA最後於2017年1月13日說明,短期內不會執行該指引草案內容,但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法,顯示對LDTs的額外監督是必要的,但對於如何監管則有不同看法,未來主管機關應基於下列原則,提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案,重點摘述如下: (一)以風險等級為基礎,並分階段實施監督   之後的四年內將分階段要求LDTs逐步進行上市前審查,第一年實驗室必須回報LDTs所有的嚴重不良反應;第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的上市前審查;第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的510(k)上市前通知;第四年則完成LDTs全面性的監督,並且原則上與醫療器材採取一致標準。 (二)以檢驗之分析效能與臨床有效性,作為核准基礎   目前CMS已有實驗室檢驗之臨床效用(clinical utility)審查,但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故,FDA將制定適合的審查標準,以減輕實驗室提交審查的負擔,並加速上市前審查的審核時間。 (三)不良反應通報系統   將參考既有醫療器材上市後監督機制(postmarket surveillance),監控LDTs在真實世界的效能及臨床結果(real-world performance and clinical outcomes)。 (四)健全實驗室之品質系統   FDA將會密切與CMS合作加強實驗室的品質系統要求,但會與既有CLIA等認證制度相互調和、不會重複監督。 (五)公開檢驗性能資訊供大眾取得   實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊,公開讓民眾可取得。 (六)免除特定類型檢驗之上市前審查   對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務,如:對健康影響較低者、罕見疾病使用之LDTs等。 二、加強基因檢驗之執法 (一)23 and Me遺傳健康風險個人基因體服務   雖然在LDTs規範上,美國FDA暫時未有全盤性的改變;但在個案上,開始有逐步的調整。美國FDA在2013年11月時,發函警告生技公司「23 and Me」,認為其銷售的「個人基因體服務」(personal genome service, PGS)應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材(風險程度最高的醫療器材),但由於其未取得美國FDA的上市前許可,因此應該立刻停售;其後,23 and Me將其旗下的「遺傳健康風險個人基因體服務」(PGS Genetic Health Risk)向美國FDA申請並取得第二級醫療器材許可[7]。 (二)Inova藥物反應基因檢驗   2019年另外一起案例,亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室(Inova Genomics Laboratory)寄發通知函,表示其自行研發之MediMap Plus基因檢驗產品,用於預測病人對藥品的反應與接收度,必須先完成FDA上市前審查程序,始得進行商業販售[8]。   Inova基因體實驗室雖回覆表示,MediMap Plus基因檢驗產品屬於LDTs的範疇,所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後,FDA則直接寄發警告函,申明其並未針對LDTs創設任何責任免除條款,且為了促進公眾安全,FDA對於LDTs保留裁量權[9]。對於FDA的警告,Inova決定停止執行MediMap Plus之販售,也不會申請上市前審查[10]。 三、小結   由於基因檢驗之安全及確效涉及面向十分廣泛,美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範,搭配行之多年的CLIA實驗室品質管理制度,以完備各環節之風險管理。申言之,即便基因檢驗技術僅屬實驗室內應用,並未在外流通,亦屬實驗室品質管理之範疇,必須依據CLIA實驗室分類進行能力測試或實地查核。   其次,美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致,但未來仍將參考醫療器材的風險等級基礎,並盡量提高審查的效率,此趨勢與歐盟新的醫療器材法規[11]一致。 參、事件評析   我國近年來政府與民間在基因檢驗的監管上亦有所討論,特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之,建議我國未來或可釐清不同目的之基因檢驗,如商業用、實驗用、醫療用等,進而明確醫療用基因檢驗之監管密度,並依不同風險程度採取分級監理,以在新技術應用與病人權益保護之間取得平衡。 [1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7. [2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019). [3]呂雅情,〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉,當代醫藥法規月刊,2018/02/09,https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf(最後瀏覽日:2020/01/07),頁17。 [4]Supra note 1, at 7-8. [5]id. at 30. [6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1. [7]何建志,〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉,《月旦醫事法報告》,第25期,頁44-45(2018)。 [8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019). [9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019). [10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019). [11]歐盟2017年5月25正式生效新版醫療器材法規(Medical Devices Regulations, MDR; Regulation (EU) 2017/745)以及體外診斷醫療器材法規(In Vitro Diagnostic Devices Regulations, IVDR;Regulation (EU) 2017/746)。 [12]蔡雅雯、林工凱、黃品欽、謝文祥,〈基因檢驗法規監管方向初探〉,《台灣醫界》,第62卷第12期,2019/12,https://www.tma.tw/ltk/108621207.pdf(最後瀏覽日:2020/02/06)。

歐洲法院針對國家安全數據保留政策之隱私權問題作出裁決

  歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案(Data Retention and Investigatory Powers Act 2014;簡稱DRIPA)作出裁決,其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據,並應政府機關指示提供,違反歐盟電子通訊隱私指令(2002/58/EC;E-Privacy Directive),與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利,及第8條個人資料受保護之權利。   詳言之,歐洲法院認為,歐盟電子通訊隱私指令15(1),雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下,可立法採取適當措施予以限制電子通訊之隱私權,但由於流量及位置數據是可以藉由保留數據精確得出個人私生活,並據以建立個人簡介,因此,倘允許「普遍性及無區別性」之要求保留數據,對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害,將導致個人未受任何通知,政府即可要求電信營運商保留數據,使民眾之私生活處於不斷被監視之中。   據此,該裁決進一步指出,立法上須具備特定標準及客觀證據,足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性,且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益,方可限縮歐洲聯盟基本權利憲章所規定之基本權利,且應採取適當保護措施,並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。   然而,歐洲法院之此項裁決見解,在英國脫離歐盟已成定局之情形下,其遵循態度與影響力為何,尚不可知,甚且對於其國內於12月實行,以賦予政府更大權力監控民眾之調查權力法案(Investigatory Powers Act. 2016)之衝擊程度為何,亦值得後續觀察。

TOP