日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準

　　由於近日頻傳醫院遭受勒索軟體攻擊（ransomware attacks），美國加州檢察總長於2021年8月24日發布官方公告（bulletin）：在加州州法「醫療資訊保密法」（Confidentiality of Medical Information Act, CMIA）與聯邦法「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act of 1996, HIPAA）規範下，蒐集、處理和利用醫療健康資料的醫療照護機構，有採取適當措施與事故通報的義務，以維護醫療健康資料保密性。 　　針對「採取適當措施」的內容，美國加州檢察總長於本次官方公告中，提出明確指引（guidance）：醫療照護機構須至少採取下列5項防範措施（preventive measures），以避免勒索軟體威脅： 確保所有存取醫療健康資料的作業系統與軟體，均升級至最新版本； 安裝防毒軟體，並維護其運作； 定期為員工舉辦教育訓練，包含教導員工不要點擊可疑網址和防範釣魚電子郵件（phishing email）； 限制員工下載、安裝和運作未經批准的軟體； 維護和定期測試資料備份與救援計畫，以便於事故發生時，控制對資料和系統的影響範圍及程度。 　　此外，針對「資料外洩事故通報義務」（breach notification obligations），美國加州檢察總長指出：依據「加州民法」（California Civil Code）第1798.82條，擁有或經授權使用含有個人資料的「電腦化資料」（computerized data）的醫療照護機構，於發生，或可合理確信發生，影響超過500位加州居民的資料外洩事故時，即負有將該事故通報檢察總長辦公室的義務。

　　在一片低迷的全球經濟成長中，2015年11月11日世界智慧財產權組織（WIPO），公布了最新的「世界智慧財產報告：突破創新與經濟成長（ World Intellectual Property Report: Breakthrough Innovation and Economic Growth）」，探討知識產權的角色與創新及經濟成長之關連，並鎖定在突破性創新之影響。該報告除討論具代表性歷史創新技術，另也探討當今具有潛在突破性發展之創新技術，同時敦促各國政府及企業，應增加此三領域創新技術相關之投資。 　　在過去300年來的創新技術發展，已經觸及人類活動的各個層面，並改變了世界的經濟結構。依據2015年WIPO報告，顯示出三領域歷史創新技術如何觸發當時新的企業活動：即飛機、抗生素和半導體。該報告考量到創新驅動成長及未來展望，另探究了三領域具有潛在突破性發展之當今技術：即3D列印、奈米和機器人技術。調查報告也顯示，日本和美國正帶領著一小群國家，推動此三領域創新技術進行突破研究，正因此三領域前瞻技術，掌握著推動未來經濟增長之潛力。 　　朝向工業化發展的新興中等收入國家中國大陸，自2005年以來在3D列印和機器人領域的專利申請量占全球四分之一以上，為全球國家中比率最高；在奈米技術方面，中國大陸專利申請人占全球近15%，是第3大申請國，但與其他資深創新國家不同的是，中國大陸的大學和公立研究機構申請案所占比例相當高。 　　WIPO報告強調，創新生態系統的成功要素有三：政府資助科學技術研究，並協助具前景技術從實驗室走到商品化階段；透過充滿活力的金融市場和健全的法規，以及鼓勵企業創新來加強市場競爭力；促進公、私部門創新單位的連結溝通流暢。 　　該報告亦說明大學和公立研究機構與創新如何日形密切，和傳統飛機、抗生素和半導體領域相較，學研機構在3D列印、奈米技術和機器人領域的專利申請所占比例較高，尤其是在奈米技術領域，全球的學術機構申請人約占四分之一。另外著作權在技術創新也變得更加常見且緊密相關，包括電腦軟體納入著作權保護標的，及3D物品設計和電腦IC晶片設計等的任何形式數位表達之保護。 　　WIPO「世界智慧財產報告」每兩年發行一次，每期的重點放在不同的IP領域新趨勢，先前的報告已探討「品牌在全球市場的角色（the role that brands play in a global marketplace）」及「不斷變化的創新（the changing face of innovatio）」。

美國監管醫療用基因檢驗之法制與實務趨勢 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要 　　精準醫療多搭配基因檢驗技術的研發與應用，以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言，許多新的醫學檢驗技術在各實驗室中研發，且迅速發展至臨床應用，但必須經過醫療器材上市許可後，始得於實驗室外運用。 　　美國國會於1976年修正《聯邦食品藥物與化妝法（Federal Food, Drug, and Cosmetic Act）》後，將「體外診斷醫療器材」納入醫療器材的規範，同年美國食品藥物管理署（Food and Drug Administration, FDA）便宣佈對實驗室自行研發之檢驗技術（Laboratory Developed Tests, LDTs）行使「自由裁量權」（Enforcement Discretion），排除於《聯邦食品藥物與化妝法》的管理之外，讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。 　　換句話說，由於典型之LDTs僅為實驗室內部使用，且測試方式簡易，需求量亦不高，可由「醫療保險與醫療補助服務中心」（The Center for Medicare & Medicaid service, CMS）依據《臨床實驗室改進修正案（Clinical Laboratory Improvement Amendments, CLIA）[2]》之規範，施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後，即可將開發的LDTs進行臨床應用。 　　然而，1976年迄今，LDTs的發展已經有許多的變化，運作LDTs的實驗室往往獨立於醫療服務機構（Healthcare Delivery Entity）之外，而依賴於許多高科技的儀器、軟體來產生結果及解釋，增加了許多以往沒有的風險；其商業模式也已經大幅的改變，已經大量製造、用於直接的臨床診斷決策上[3]。因此，美國FDA認為有必要引進一個全面性的監管架構管理LDTs，而非像過去一樣，將其排除於《聯邦食品藥物與化妝法》的管理之外。 貳、重點說明 　　FDA近年來加強基因檢驗風險監管之具體行動，包括LDTs監管架構之研擬以及加強實務取締，以保障病人的權益。 一、LDTs監管架構指引草案 　　美國FDA曾於2014年公布兩項指導文件，分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」（以下統稱LDTs監管架構指引草案）。LDTs監管架構指引草案希望提升LDTs的規管密度，並規劃將LDTs分為數個不同的類別，依據其風險程度的高低，分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。 　　該指引草案公布後，受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高，會扼殺臨床實驗室的創新意願，使得實驗檢驗技術、方法與應用停滯，並耗費大量的人力與金錢成本。 　　美國FDA最後於2017年1月13日說明，短期內不會執行該指引草案內容，但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法，顯示對LDTs的額外監督是必要的，但對於如何監管則有不同看法，未來主管機關應基於下列原則，提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案，重點摘述如下： （一）以風險等級為基礎，並分階段實施監督 　　之後的四年內將分階段要求LDTs逐步進行上市前審查，第一年實驗室必須回報LDTs所有的嚴重不良反應；第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的上市前審查；第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的510(k)上市前通知；第四年則完成LDTs全面性的監督，並且原則上與醫療器材採取一致標準。 （二）以檢驗之分析效能與臨床有效性，作為核准基礎 　　目前CMS已有實驗室檢驗之臨床效用（clinical utility）審查，但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故，FDA將制定適合的審查標準，以減輕實驗室提交審查的負擔，並加速上市前審查的審核時間。 （三）不良反應通報系統 　　將參考既有醫療器材上市後監督機制（postmarket surveillance），監控LDTs在真實世界的效能及臨床結果（real-world performance and clinical outcomes）。 （四）健全實驗室之品質系統 　　FDA將會密切與CMS合作加強實驗室的品質系統要求，但會與既有CLIA等認證制度相互調和、不會重複監督。 （五）公開檢驗性能資訊供大眾取得 　　實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊，公開讓民眾可取得。 （六）免除特定類型檢驗之上市前審查 　　對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務，如：對健康影響較低者、罕見疾病使用之LDTs等。 二、加強基因檢驗之執法 （一）23 and Me遺傳健康風險個人基因體服務 　　雖然在LDTs規範上，美國FDA暫時未有全盤性的改變；但在個案上，開始有逐步的調整。美國FDA在2013年11月時，發函警告生技公司「23 and Me」，認為其銷售的「個人基因體服務」（personal genome service, PGS）應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材（風險程度最高的醫療器材），但由於其未取得美國FDA的上市前許可，因此應該立刻停售；其後，23 and Me將其旗下的「遺傳健康風險個人基因體服務」（PGS Genetic Health Risk）向美國FDA申請並取得第二級醫療器材許可[7]。 （二）Inova藥物反應基因檢驗 　　2019年另外一起案例，亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室（Inova Genomics Laboratory）寄發通知函，表示其自行研發之MediMap Plus基因檢驗產品，用於預測病人對藥品的反應與接收度，必須先完成FDA上市前審查程序，始得進行商業販售[8]。 　　Inova基因體實驗室雖回覆表示，MediMap Plus基因檢驗產品屬於LDTs的範疇，所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後，FDA則直接寄發警告函，申明其並未針對LDTs創設任何責任免除條款，且為了促進公眾安全，FDA對於LDTs保留裁量權[9]。對於FDA的警告，Inova決定停止執行MediMap Plus之販售，也不會申請上市前審查[10]。 三、小結 　　由於基因檢驗之安全及確效涉及面向十分廣泛，美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範，搭配行之多年的CLIA實驗室品質管理制度，以完備各環節之風險管理。申言之，即便基因檢驗技術僅屬實驗室內應用，並未在外流通，亦屬實驗室品質管理之範疇，必須依據CLIA實驗室分類進行能力測試或實地查核。 　　其次，美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致，但未來仍將參考醫療器材的風險等級基礎，並盡量提高審查的效率，此趨勢與歐盟新的醫療器材法規[11]一致。 參、事件評析 　　我國近年來政府與民間在基因檢驗的監管上亦有所討論，特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之，建議我國未來或可釐清不同目的之基因檢驗，如商業用、實驗用、醫療用等，進而明確醫療用基因檢驗之監管密度，並依不同風險程度採取分級監理，以在新技術應用與病人權益保護之間取得平衡。 [1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7. [2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019). [3]呂雅情，〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉，當代醫藥法規月刊，2018/02/09，https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf（最後瀏覽日：2020/01/07），頁17。 [4]Supra note 1, at 7-8. [5]id. at 30. [6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1. [7]何建志，〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉，《月旦醫事法報告》，第25期，頁44-45（2018）。 [8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019). [9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019). [10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019). [11]歐盟2017年5月25正式生效新版醫療器材法規（Medical Devices Regulations, MDR； Regulation (EU) 2017/745）以及體外診斷醫療器材法規（In Vitro Diagnostic Devices Regulations, IVDR；Regulation (EU) 2017/746）。 [12]蔡雅雯、林工凱、黃品欽、謝文祥，〈基因檢驗法規監管方向初探〉，《台灣醫界》，第62卷第12期，2019/12，https://www.tma.tw/ltk/108621207.pdf（最後瀏覽日：2020/02/06）。

　　固定通信網路（以下稱固網）寬頻、電話服務通常倚賴市內電話交換機（local telephony exchange）與住宅或商辦間的固網連接才得以運作，而在多數區域，這樣的連接服務僅由一或兩個實體網路業者所提供。有鑑於此，英國通訊管理局（The Office of Communications，Ofcom）遂對市內用戶迴路接取批發（wholesale local access, WLA）市場的規範發布三份諮詢文件，其目的除希望能促進光纖網路的投資外，也要保障消費者免於支付高額的使用費。 　　為了達成這樣的願景，Ofcom要求英國電信（British Telecom, BT）旗下提供WLA服務之子公司Openreach需允許寬頻競爭業者得以使用其網路銷售寬頻服務予人民或企業。Openreach提供數種傳輸速率的服務方案，並依不同方案對服務提供者收取不同的批發價格。根據Ofcom的分析結果，Openreach在高速寬頻服務（superfast broadband service）各項方案中，最具影響力的即為提供下載速率40Mbps/上傳速率10Mbps之服務方案。截至目前為止，受限於人民可選擇較便宜的寬頻服務當作替代方案，故BT對於服務方案價格的調漲有限。然而，這樣的限制隨著人們對網速的需求與連線品質的日益增加而日趨式微，Openreach顯然有足夠的誘因對服務方案的價格進行操作。因此，Ofcom責成Openreach需就其40/10Mbps之服務方案逐年調降向服務提供者收取之費用，由2017年的每年88.80英鎊至2020/21年降為每年52.77英鎊。藉由對服務提供者營運成本的逐年遞減，達到消費者服務使用費也隨之降低的目的；對40/10Mbps方案設下價格上限（price cap）的做法，長遠來看，也提供BT的競爭對手有投資建設其自有超高速網路（ultrafast network）的誘因。 　　此外，Ofcom對於WLA連線過程中，屬於Openreach維護範圍之故障排除或線路建置時間等服務品質（quality of service）的要求也更趨嚴格，包括： 於收到通知後1至2個工作天內完成93%的報修（現為80%）； 6至7個工作天內完成97%的報修； 於收到新線路建置通知後10個工作天內安排90%的新線路建置預約（現為12個工作天內安排80%的新線路建置預約）； 於Openreach與電信供應商協議之日期前完成95%的連線建置（現為90%）。以上要求皆需於2020/21年完全實現。 　　Ofcom這些管制措施是WLA market諮詢文件的一部份，確切施行期間為2018年4月至2021年3月，意見諮詢預計於2017年6月9日結束。Ofcom預計於2018年初發表其最終決定，而定調後的規範將於2018年4月生效。