日本「未來投資戰略2017」

　　美國國會於1980年通過了拜杜法案(Bayh-Dole Act)，正式名稱為1980年大學與小型企業專利程序法(University and Small Business Patent Procedures Act of 1980, 35 U.S.C. 200 et seq.)。經濟學人(The Economis)曾對美國拜杜法評價為「可能是過去半世紀在美國所成立之最具創見之法律」，其目的是讓大學、中小企業等與聯邦機構締約，執行聯邦政府資助的研發計畫後仍能保有其研究成果之專利，亦即將此研究成果的專利申請權歸屬於受資助之大學或中小企業，而非聯邦政府。 　　拜杜法案(Bayh-Dole Act) 35 U.S.C. § 201(c)對立約人(contractors)定義為，任何簽署資助協議的自然人、小型企業、或非營利機構。而權利歸屬部分，規定於35 U.S.C. § 202，非營利機構、中小企業等與聯邦機構簽訂資助契約之承攬人可以選擇是否擁有受資助發明(elect to retain title to any subject invention)之權利。再者，立約人負責專利管理事務之人員，應於知悉受資助發明的合理期間內，向聯邦機構揭露該發明，若未於合理期間內揭露，則該發明歸屬於聯邦機構。並且，立約人應於揭露發明後2年內，以書面行使其選擇權，逾期則該發明權利歸屬於聯邦機構。另 35 USC § 203有介入權規定，聯邦機構認為有必要時，得要求立約人、其受讓人或其專屬被授權人將發明專屬、部分專屬(partially exclusive)或非專屬授權予申請人，聯邦機構得自行為之。

　　英國內閣辦公室於2015年7月13日宣布開啟「2015年開放政府夥伴英國國家行動計畫」，認為身處於轉型於科學與技術、面臨了資訊革命的世界，資訊開放可以促使英國政府現代化作業，這也是讓英國邁向較佳未來的最好方式。現在英國社會已然是此一趨勢，而英國政府的任務就是讓其更佳發展，「開放政府夥伴國家行動計畫」（Open Government Partnership National Action Plan）就是英國政府規劃發展的藍圖，承諾將提供給民眾一更加開放及有責的政府。 　　而英國政府目前已就部分政策（資訊公開、反貪腐、財政透明以及公開政策形成過程）有相關發展，分述於下列七點摘要說明： 更高的有責性（accountability）：當英國政府開始公佈其政府部門相關出差數據後，英國政府發現高階官員變得更加傾向於搭乘飛機時乘坐經濟艙，以減少開銷。而溫莎-梅登黑德皇家自治市鎮議會（Windsor and Maidenhead Council）發布了公部門建築物的即時能源使用資訊，因此協助公部門減少16%的能源帳單費用。 更佳的資訊管理：英國政府發現，將訊息公開並使其可以利用，促使英國政府本身成為更佳成熟的資訊使用者。不僅英國政府會具備更高的有責性，同時也更能獲得公眾的資訊，而資訊公開則可使英國政府的決策具有實證依據。 資訊更加公開：資訊公開的優點不僅可使英國政府獲得公眾之資訊，同樣地公眾亦可得到政府的資訊，進而提升英國政府公共服務的水準。 數據經濟（data economy）：目前英國有上千家創業的新興公司正在設法取得政府創新利用的相關資訊，透過資訊的公開亦同時可幫助英國此類數據經濟的成長。 國際合作：英國政府認為於在政府透明化方面需要更多的國際合作。英國政府將以官方協助的立場公開資訊，支持採掘產業（extractive industries）財政透明的全球性標準，並承諾建立一個公司受益所有權（company beneficial ownership）的註冊中心單位，將會有關於英國各家公司最終擁有及實質管控者清楚的資訊來源，藉此打擊貪腐弊案。 地方授權：除了上述所提者，英國政府同時亦要將此規劃落實到各地，將授權予蘇格蘭、威爾斯、北愛爾蘭以及英格蘭的城市等地區。從蘇格蘭聯合政府的運作，到曼徹斯特其地方企業夥伴（Local Enterprise Partnership, LEP）公開資訊的利用，這些設置都可以作為彼此學習的借鏡，並將開放政府的原則擴散到全英國。 採取如維基（Wiki）的模式形成政策：英國政府認為應該要朝向維基百科（Wikipedia）運作的模式發展，於政策規劃方面採取與各方更高度合作的方式進行，可使資訊得以廣泛擴散。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 　　資訊科技的發展，從早期「超級電腦/大型電腦」、近期「個人電腦」，到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用，未來電腦運算設施就像是水、電；資料儲存與應用就像是銀行，只要連上網路就可以使用，不必各自投資發展。因此，「雲端運算」未來將成為每個國家的重要基礎建設。 　　將雲端運算列為重要的產業發展重心，已是各國的趨勢，而運用雲端運算所帶來的效益，如節省經費、提升效率等，亦為普遍地承認，再加上公部門相較於民間，其擁有較多的經費及資源來進行雲端運算的導入，而藉由公部門導入雲端運算，可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此，各國均皆致力於促進公部門導入雲端運算。 　　然而，在雲端運算帶來龐大經濟效益的同時，伴隨而來的，是新的資訊管理議題，雲端安全防護聯盟（Cloud Security Alliance, CSA）提出了雲端運算可能遭遇的九大安全威脅 ： 一、資料外洩（Data Breaches） 二、資料遺失（Data Loss） 三、帳號被駭（Account Hijacking） 四、不安全的APIs程式（Insecure APIs） 五、拒絕服務（Denial of Service） 六、惡意的內部人員（Malicious Insiders） 七、濫用雲端服務（Abuse of Cloud Services） 八、審慎評鑑不足（Insufficient Due Diligence） 九、共享環境議題（Shared Technology Issues） 　　面對前述的安全威脅，政府部門在考量導入雲端服務時，首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度，以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 　　美國政府在2010年12月發表了25項聯邦IT轉型重點政策，其中一項核心的政策便是「雲優先政策」（cloud first policy）。根據「雲優先政策」，聯邦機構必須在三個月內找出三項轉移到雲端的政府服務，並且要在一年內導入其中一項。 　　然而，此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰，傳統由各機關分頭洽談所導入資訊系統與應用規格之方法，並實施個別的資訊安全需求與政策的作法，對服務商而言，其所提供的相同服務，在各機關導入時，卻必須將受各個機關的審查，造成各機關投入過多的資源在審查程序上，導致政府資源的浪費，不但耗費時間、審查重複，且無法達到建構妥善操作程序的效果。 　　2012年6月6日，聯邦政府總務管理局（General Service Administration, GSA）宣布「聯邦風險與授權管理計畫」（Federal Risk and Authorization Management Program,以下稱FedRAMP）開始正式運作，GSA並表示，「FedRAMP」的正式運作，將解決美國政府在雲端產品及服務需求上，因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費，並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用，預期效益相當可觀。 　　「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範，建立一套可遵循之依據。未來所有雲端產品的服務提供者，都必須遵守及達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 貳、重點說明 　　「聯邦風險與授權管理計畫」主要由預算與管理辦公室（Office of Management and Budget, OMB）負責組織預算與管理；聯邦資訊長（the Federal Chief Information Officer，CIO）負責跨部門的整合；國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析；總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序，並成立計畫管理辦公室（ Program Management Office， PMO）負責FedRAMP之操作與管理；以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準；最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局，組成共同授權委員會（Joint Authorization Board, JAB），負責對服務提供者的授權與定期檢視。 　　FedRAMP制度的精神在於「作一次並重複使用」（Do once ,Use Many Times），同一內容的雲端服務，透過FedRAMP，僅須經過一次的評估與授權，即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性，造成資源浪費的問題，將可獲得解決。當其他機關欲採用雲端服務時，可透過FedRAMP，免去再一次的評估與驗證。 　　FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成，簡單介紹如下： 一、第三方評估機構的認證 　　FedRAMP的特殊之處，在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構（3PAO）來進行審查，而第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下： （一）申請檢視 　　機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力，並且自行檢視FedRAMP網站上的申請表，自行檢視是否合乎要求，然後決定是否提出申請。 （二）完成要求 　　機構須分別完成申請表所要求的系統安全計畫（system security plan, SSP）、系統評估計畫（system assessment plan, SAP）、安全評估報告（security assessment report, SAR）。於完成後向計畫管理辦公室提出申請。 （三）審查 　　在接受申請後，總務管理局會與ISO網路安全專家共同組成「專家審查委員會」（Expert Review Board , ERB），審查該申請。 （四）決議 　　審查完畢後，FedRAMP計畫管理辦公室（PMO）會檢視ERB的意見，決議是否通過該申請。 　　於通過申請後，該機構將會被列入FedRAMP官方網站（www.FedRAMP.gov）的第三方評估機構名單，目前為止，陸續已有十五個機構通過共同授權委員會的授權，日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 　　在「聯邦風險與授權管理計畫」的機制設計中，政府機關或雲端服務提供者任一方，皆可提出申請（Request）啟動雲端服務的安全性評估（Security Assessment）程序，此程序中共有四個主要階段： （一）提出申請 　　在申請人將所須文件初步填寫完畢之後，計畫管理辦公室（PMO）即會指派資訊系統安全官（Information Systems Security Officer, ISSO）進行指導，使之得進行安全控制、出具必要文件、並實施安全測試。之後，PMO會與雲端服務提供者簽署協議，並要求相關機關實施對雲端服務系統的安全性測試。 （二）檔案安全控管 　　雲端服務提供者必須作成系統安全計畫（System Security Plan, SSP），表明安全控制之實施方法，及其相關文件如IT系統永續計畫（IT Contingency Plan）、隱私衝擊調查（Privacy Impact Questionnaire），並送交ISSO進行審查，再由雲端服務提供者就對審查意見予以回覆之後，由ISSO將案件送至共同授權委員會（Joint Authorization Board, JAB）進行審查，以確認所提交的SSP安全措施符合雲端系統所需。 （三）進行安全測試 　　服務提供者與第三方評估機構（Third Party Assessment Organization, 3PAO）簽約，且由PMO約集雲端服務提供者與3PAO，確認雙方對於安全測試實施的期待與時程，再由3PAO獨立進行該雲端系統測試，並完成安全評估報告（Security Assessment Report, SAR），闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果，作成行動與查核點報告（Plan of Action & Milestones (POA&M)），以提出矯正弱點與殘餘風險（residual risks）的措施、資源與時程規劃。 　　雲端服務提供者再將前述SAR與POA&M提交予PMO，由JAB決定是否接受該弱點及其修正計畫，或者提出修正建議。倘若JAB可接受該弱點及其他因應措施，則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 （四）完成安全評估 　　雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案，並提出證明將確實執行其安全控制措施。由JAB檢視此方案，並作出最終決定是否授予「附條件之授權」（Provisional Authorization）。得到此授權的雲端服務提供者名單，將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權，PMO會指導如何進行重新申請。 三、持續的評估與授權 　　持續的評估與授權（ongoing Assessment and Authorization, A&A）通常也被稱為持續監控（Continuous Monitoring），在FedRAMP中第三個也是最後一個流程，透過持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面： （一）操作的能見度 　　操作能見度的目標，是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度，而不必政府機構另行要求。 （二）變更控制程序 　　雲端服務提供者更新她們的系統是常有的事，此處的變更控制程序並非針對例行性的維修或變更，而是要求若有發生影響臨時性授權或的顯著變更時，服務提供者必須提供此種具衝擊性變更的有效資訊，使FedRAMP得以評估此變更的影響與衝擊。 （三）事件回應 　　事件回應方面聚焦於新風險和漏洞的因應，服務提供者在發現影響授權的新風險或漏洞時，應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 　　在各國紛紛投入雲端運算的推動熱潮中，我國也不能在此項產業推動中缺席。2010年4月，行政院科技顧問組（現已改組為行政院科技會報）責成經濟部，研擬「雲端運算產業發展方案」；2011年5月，行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」，在內部運作管理面向，將運用新興雲端運算技術推動以全國性的政府雲端應用服務，減少機關重複開發成本，並達成節能減碳效果。 　　雲端的安全問題，無論在私人企業或政府部門，均為選擇導入雲端服務的第一要務，「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點，運用雲端運算技術，創新資安服務價值，確保政府資通安全防護。 　　然而，在服務提供者的安全性方面，我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此，我國可借鏡各國的作法，適度的以透過公正第三方機構驗證，來消除雲端服務安全性的疑惑，並推動一個公開的平台，將通過驗證的廠商公布出來，提供公部門甚至私人企業作選擇，不僅可免去同一服務廠商不斷重複驗證的麻煩，亦可削減選擇上的難題，並藉此發展雲端資安技術與推動雲端產業，使我國的雲端環境能夠更臻成熟。

日本也有EUA了！新修《藥機法》通過藥物緊急許可制度 資訊工業策進會科技法律研究所 2022年06月13日 　　去（2021）年12年底日本厚生勞動省發布「緊急時藥物許可制度總結[1]」（緊急時の薬事承認の在り方等に関するとりまとめ）文件，就日本藥物緊急許可制度（緊急承認）進行提案，並建議修法。接著，以該制度為中心之《藥物及醫療器材品質、有效性及安全性確保法》（医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律）（下稱藥機法）修正案，在今（2022）年3月經眾議院通過，4月經參議院通過成立，5月20日公布並即日開始發生效力[2]。主要條文規範在新法第14條之2之2及第23條之2之6之2。 壹、立法背景說明 　　修法之前，日本藥物上市審查有四種管道：一般許可（通常承認）、先驅審查指定制度（先駆け審査指定制度）、附條件許可（条件付き承認）、特例許可（特例承認）。「一般許可」係無特殊情形下之通常上市管道；「先驅審查指定制度」是針對治療嚴重疾病的劃時代創新藥物所創設之優先審查制度[3]；「附條件許可」則是針對有效治療方法少、患者數量少的嚴重疾病的藥物審查制度[4]；若遇緊急事件需使用藥物則是走「特例許可」管道使藥品能提早上市[5]。 　　根據去年日本厚生勞動省之調查[6]，在傳染病大流行等類似緊急情況之下，日本當時對於藥品核准的對應方式存有兩大問題。 　　首先是對應的速度不夠快。在緊急狀況下，對於疫苗及藥物等的優先核准制度，即使是日本當時最快的「特例許可」管道，相較於歐美也較為耗時。以對抗新型冠狀病毒的莫德納疫苗為例，該疫苗在美國取得緊急使用授權（Emergency Use Authorization，下稱EUA）之後，約過了5個月才在日本獲得承認；而新型冠狀病毒的治療藥物Sotrovimab於日本國內的核准也晚於美國4個月[7]。 　　其二是特別許可的適用對象較窄，「特例許可」管道是為已在國外流通之藥品而設計，因此若是日本藥廠自行研發的疫苗、藥物或是療法，均無法依此管道上市。如日本藥廠塩野義所開發的新型冠狀病毒口服藥，即需要透過附條件許可之制度，或新的緊急許可制度加快上市速度。 　　鑒於前述原因，日本厚生勞動省參考美國EUA，提出了藥物的「緊急許可制度」。此二制度最大共通特點在於其均非藥品的正式上市制度，通過審查之後僅能在一定期間內上市流通，到期之後原則上應下架[8]。 貳、重點說明 　　緊急許可制度有四大重點[9]，說明如下： 　　一、發動要件：為防止重大影響國民生命和健康之疾病蔓延，及防止其他健康損害狀況的擴大，有緊急使用之必要，且無使用該藥物以外替代手段時，得申請緊急許可。此處所稱之藥物包括了疫苗、治療藥物、普通藥品、醫療器械等產品。且緊急情況並不限於大規模流行性疾病，核事故、放射性污染、生化攻擊等情況亦適用緊急許可制度。 　　二、運用標準：在臨床試驗確認安全性的前提下，可以不需要完成有效性的完整試驗，得僅就現有的數據及資訊進行有效性之推定。舉例而言，若在海外進行的大規模驗證臨床研究中獲得了顯著的結果，則以日本受試者為主的臨床研究結果為非必要。 　　三、核准條件及期限：由於在有效性的階段給予核准，為了確保正確使用核准的藥物，應附上條件以及二年內之期限（有再延長一年之可能）。獲得許可後一定期限內若無法確認有效性，且判斷該醫藥品或器材不適合維持許可狀態時，將撤銷許可。 　　四、加速特別措施：對GMP檢驗、國家認證、容器包裝等採取特殊措施以加快核准速度。如在申請緊急許可當下，GMP檢驗有實施上困難，可以先暫緩，待核准後再補上檢驗程序。 參、與現存制度差異評析 　　特例許可是在緊急許可推出之前，在緊急情況下能在短期間內讓藥品上市之方式。特例許可是藥品正式上市流程，而緊急許可是在符合條件後暫時性准許上市，故兩者在範圍、運用基準以及期限等規定上存有明顯差異。 　　首先在範圍方面，特例許可係為了已在國外流通的醫療用品引進國內而設置，因此日本國內企業自行研發的新疫苗或是新治療藥等，無法透過特例許可上市[10]，原則上需要透過一般藥物上市管道，因此新制度對於日本藥廠來說，形同多開闢了一條產品上市的道路。其次，在運用基準方面，特例許可應完整確認安全性及有效性，無法如新制般能僅由現存數據及資料推定該藥物之有效性[11]，因此新制可以縮短臨床試驗所花費的時間。最後，由於特例許可為正式之上市許可，僅在簡化一般藥物之審查流程至2-3個月，故其無有效期間之規定[12]，而依新制度上市之藥品在有效期間內仍須完成剩下的臨床試驗，否則期限屆至時原則上應下市。 肆、未來展望 　　由於緊急許可制度剛修法通過，日本國內目前尚未有以此管道核准上市之藥物或疫苗，因此核准程序所花費之時程，能否成功縮短至如美國EUA的三週內尚未可知。目前最有可能以此管道核准上市之藥物為日本藥廠塩野義的新型冠狀病毒口服藥，審查結果預計於7月發表[13]，其發展究竟如何，值得我們拭目以待。 [1] 〈緊急時の薬事承認の在り方等に関するとりまとめ〉，厚生勞動省，https://www.mhlw.go.jp/content/11121000/000873996.pdf（最後瀏覽日：2022/06/12）。 [2] 日本參議院網站，https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208042.htm（最後瀏覽日：2022/06/12）。 [3] 〈先駆的医薬品等指定制度（先駆け審査指定制度）〉，獨立行政法人醫藥品醫療機器總合機構，https://www.pmda.go.jp/review-services/drug-reviews/0002.html （最後瀏覽日：2022/06/27）。 [4] 〈医薬品条件付早期承認制度への対応〉，獨立行政法人醫藥品醫療機器總合機構https://www.pmda.go.jp/review-services/drug-reviews/0045.html （最後瀏覽日：2022/06/27）。 [5] 同前註1。 [6] 同前註1。 [7] 〈緊急時の薬事承認の在り方について〉，厚生勞動省，https://www.mhlw.go.jp/content/11121000/000856077.pdf（最後瀏覽日：2022/06/12）。 [8] 同前註。 [9] 〈令和４年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律（薬機法）等の一部改正について〉，日本厚生勞動省網站，https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00006.html（最後瀏覽日：2022/06/12）。 [10] 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律（昭和三十五年法律第百四十五号）第14條之3第2項。 [11] 同前註4。 [12] 周晨蕙、施雅薰，《科技法律透析》，〈COVID-19疫情下我國藥事法專案核准制度議題-以國際藥物緊急核准上市機制為借鏡〉，第33卷第10期，頁58（2021）。 [13] NHK，〈コロナ飲み薬 塩野義製薬「ゾコーバ」有効性や副作用 承認の可否は〉，2022/06/23，https://www.nhk.or.jp/shutoken/newsup/20220623a.html （最後瀏覽日：2022/06/27）。