美國監管醫療用基因檢驗之法制與實務趨勢
美國監管醫療用基因檢驗之法制與實務趨勢
資訊工業策進會科技法律研究所
2020年03月25日
壹、事件摘要
精準醫療多搭配基因檢驗技術的研發與應用,以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言,許多新的醫學檢驗技術在各實驗室中研發,且迅速發展至臨床應用,但必須經過醫療器材上市許可後,始得於實驗室外運用。
美國國會於1976年修正《聯邦食品藥物與化妝法(Federal Food, Drug, and Cosmetic Act)》後,將「體外診斷醫療器材」納入醫療器材的規範,同年美國食品藥物管理署(Food and Drug Administration, FDA)便宣佈對實驗室自行研發之檢驗技術(Laboratory Developed Tests, LDTs)行使「自由裁量權」(Enforcement Discretion),排除於《聯邦食品藥物與化妝法》的管理之外,讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。
換句話說,由於典型之LDTs僅為實驗室內部使用,且測試方式簡易,需求量亦不高,可由「醫療保險與醫療補助服務中心」(The Center for Medicare & Medicaid service, CMS)依據《臨床實驗室改進修正案(Clinical Laboratory Improvement Amendments, CLIA)[2]》之規範,施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後,即可將開發的LDTs進行臨床應用。
然而,1976年迄今,LDTs的發展已經有許多的變化,運作LDTs的實驗室往往獨立於醫療服務機構(Healthcare Delivery Entity)之外,而依賴於許多高科技的儀器、軟體來產生結果及解釋,增加了許多以往沒有的風險;其商業模式也已經大幅的改變,已經大量製造、用於直接的臨床診斷決策上[3]。因此,美國FDA認為有必要引進一個全面性的監管架構管理LDTs,而非像過去一樣,將其排除於《聯邦食品藥物與化妝法》的管理之外。
貳、重點說明
FDA近年來加強基因檢驗風險監管之具體行動,包括LDTs監管架構之研擬以及加強實務取締,以保障病人的權益。
一、LDTs監管架構指引草案
美國FDA曾於2014年公布兩項指導文件,分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」(以下統稱LDTs監管架構指引草案)。LDTs監管架構指引草案希望提升LDTs的規管密度,並規劃將LDTs分為數個不同的類別,依據其風險程度的高低,分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。
該指引草案公布後,受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高,會扼殺臨床實驗室的創新意願,使得實驗檢驗技術、方法與應用停滯,並耗費大量的人力與金錢成本。
美國FDA最後於2017年1月13日說明,短期內不會執行該指引草案內容,但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法,顯示對LDTs的額外監督是必要的,但對於如何監管則有不同看法,未來主管機關應基於下列原則,提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案,重點摘述如下:
(一)以風險等級為基礎,並分階段實施監督
之後的四年內將分階段要求LDTs逐步進行上市前審查,第一年實驗室必須回報LDTs所有的嚴重不良反應;第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的上市前審查;第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs,必須經過一致的510(k)上市前通知;第四年則完成LDTs全面性的監督,並且原則上與醫療器材採取一致標準。
(二)以檢驗之分析效能與臨床有效性,作為核准基礎
目前CMS已有實驗室檢驗之臨床效用(clinical utility)審查,但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故,FDA將制定適合的審查標準,以減輕實驗室提交審查的負擔,並加速上市前審查的審核時間。
(三)不良反應通報系統
將參考既有醫療器材上市後監督機制(postmarket surveillance),監控LDTs在真實世界的效能及臨床結果(real-world performance and clinical outcomes)。
(四)健全實驗室之品質系統
FDA將會密切與CMS合作加強實驗室的品質系統要求,但會與既有CLIA等認證制度相互調和、不會重複監督。
(五)公開檢驗性能資訊供大眾取得
實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊,公開讓民眾可取得。
(六)免除特定類型檢驗之上市前審查
對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務,如:對健康影響較低者、罕見疾病使用之LDTs等。
二、加強基因檢驗之執法
(一)23 and Me遺傳健康風險個人基因體服務
雖然在LDTs規範上,美國FDA暫時未有全盤性的改變;但在個案上,開始有逐步的調整。美國FDA在2013年11月時,發函警告生技公司「23 and Me」,認為其銷售的「個人基因體服務」(personal genome service, PGS)應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材(風險程度最高的醫療器材),但由於其未取得美國FDA的上市前許可,因此應該立刻停售;其後,23 and Me將其旗下的「遺傳健康風險個人基因體服務」(PGS Genetic Health Risk)向美國FDA申請並取得第二級醫療器材許可[7]。
(二)Inova藥物反應基因檢驗
2019年另外一起案例,亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室(Inova Genomics Laboratory)寄發通知函,表示其自行研發之MediMap Plus基因檢驗產品,用於預測病人對藥品的反應與接收度,必須先完成FDA上市前審查程序,始得進行商業販售[8]。
Inova基因體實驗室雖回覆表示,MediMap Plus基因檢驗產品屬於LDTs的範疇,所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後,FDA則直接寄發警告函,申明其並未針對LDTs創設任何責任免除條款,且為了促進公眾安全,FDA對於LDTs保留裁量權[9]。對於FDA的警告,Inova決定停止執行MediMap Plus之販售,也不會申請上市前審查[10]。
三、小結
由於基因檢驗之安全及確效涉及面向十分廣泛,美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範,搭配行之多年的CLIA實驗室品質管理制度,以完備各環節之風險管理。申言之,即便基因檢驗技術僅屬實驗室內應用,並未在外流通,亦屬實驗室品質管理之範疇,必須依據CLIA實驗室分類進行能力測試或實地查核。
其次,美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致,但未來仍將參考醫療器材的風險等級基礎,並盡量提高審查的效率,此趨勢與歐盟新的醫療器材法規[11]一致。
參、事件評析
我國近年來政府與民間在基因檢驗的監管上亦有所討論,特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之,建議我國未來或可釐清不同目的之基因檢驗,如商業用、實驗用、醫療用等,進而明確醫療用基因檢驗之監管密度,並依不同風險程度採取分級監理,以在新技術應用與病人權益保護之間取得平衡。
[1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7.
[2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019).
[3]呂雅情,〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉,當代醫藥法規月刊,2018/02/09,https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf(最後瀏覽日:2020/01/07),頁17。
[4]Supra note 1, at 7-8.
[5]id. at 30.
[6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1.
[7]何建志,〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉,《月旦醫事法報告》,第25期,頁44-45(2018)。
[8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019).
[9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019).
[10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019).
[11]歐盟2017年5月25正式生效新版醫療器材法規(Medical Devices Regulations, MDR; Regulation (EU) 2017/745)以及體外診斷醫療器材法規(In Vitro Diagnostic Devices Regulations, IVDR;Regulation (EU) 2017/746)。
[12]蔡雅雯、林工凱、黃品欽、謝文祥,〈基因檢驗法規監管方向初探〉,《台灣醫界》,第62卷第12期,2019/12,https://www.tma.tw/ltk/108621207.pdf(最後瀏覽日:2020/02/06)。
- Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs)
- Discussion Paper on Laboratory Developed Tests (LDTs)
- Inova Genomics Laboratory
- Laboratory Developed Tests
- Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter
澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)於2022年11月發佈了數位平臺第五份調查報告。該報告係ACCC受澳洲政府委託,於2020年起對數位平臺相關的消費者權益和市場競爭問題的調查,本次報告將重點放在監管如何改革。主要提供的建議和警示可分為五個方向: 1.反競爭行為 大型數位平臺擁有巨大的市場力量和重要的財政資源,佔據主導地位的數位平臺公司有能力和動機透過排他性行為和收購潛在競爭對手,以維持其在市場中的優勢地位。 2.消費者和中小企業保護不足 ACCC於2022年所發佈的最新報告與其自2017年開始進行數位平臺研究起所發布的其他報告一致,皆指出數位平臺的服務有以下潛在危害: ● 利用消費者偏見或引導消費者的方式向消費者提供服務。 ● 數位平臺上的詐騙明顯且持續增加。 ● 來自應用程式商店提供的不當和欺詐性應用程式的危害。 ● 創建、購買和銷售虛假評論以及以其他方式操縱評論的做法。 ● 欠缺救濟和爭議解決的途徑。 3.保護消費者的新措施 澳洲現有的競爭和消費者法律已難以因應數位平臺市場所面臨的消費者權益侵害和競爭危害等問題。該報告建議進行立法改革,具體如下: ● 商業市場中的消費者保護措施,包括禁止不公平交易行為和不公平契約條款。 ● 針對數位平臺的消費者爭議措施,包括強制規定內部和外部的爭議解決流程,以及平臺對詐騙、有害程式和虛假評論的預防和刪除義務。 ● 建立新的競爭框架,使受指定的數位平臺提供服務時受到適用於此一領域的強制性法規拘束。 ● 受指定數位平臺將應遵循之新框架和守則,以遵守競爭義務,避免其在市場中的反競爭行為,如競爭行為中的自我偏好(self-preference)等。 4.管轄 該調查報告亦指出適當且明確的管轄權限劃分對於新的監管框架來說非常重要,應在考慮到其專業知識和權責範圍的前提下,將監管責任分配給正確的管理機構,並且這些監管在流程中的各個環節都應受到適當的監督。 對於新的競爭框架及監管措施,ACCC建議可以參考英國當前的制度設計;英國政府成立了數位市場部門(Digital Markets Unit, DMU),該部門隸屬於競爭與市場管理局(Competition and Markets Authority),DMU負責監督受指定數位平臺,並在符合公平貿易、選擇開放、透明及信任等前提之下,DMU得視各個公司不同的情況對其進行特定的要求,如建立面對非法內容、對成人或未成年人有害內容時的應對措施等。 5.與國際方針的一致性 過去,澳洲在數位平臺監管策略採取了領先國際的創新行動,透過實施《新聞媒體議價法》(News Media Bargaining Code),要求數位平臺為新聞內容付費。但未來澳洲政府最終採用的策略將可能仿效他國經驗或是依循國際間共通模式,如英國推行中的《網路安全法》(Online Safety Bill)或歐盟的《數位市場法》(Digital Market Act)和《數位服務法》(Digital Services Act),而非獨樹一幟。 澳洲數位平臺監管策略之後續變化與進展值得持續追蹤,以做為我國數位平臺治理政策之借鏡。
從歐盟、新加坡固網法規檢視台灣高速寬頻環境發展困境 美國聯邦通訊傳播委員會決議將進行網路中立立法美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )在2009年10月22日表決,一致同意開始進行對「網路開放」(Open internet)相關之規範。除了2005年所提出之前四項提議原則外版本外,FCC新提出兩項提議原則,尋求意見,共包含: 1. 確保網路使用人均可選擇網路服務及內容之自由; 2. 保護對合法網路應用和合法服務使用之權利; 3. 選擇於網際網路上使用設施(devices)之自由; 4. 網路提供業者(network providers)、應用提供業者(application providers)、服務業者(service providers)、和內容提供業者(content providers)者間之競爭關係; 5. 網路提供業者之管理措施,不得基於網路流量(traffic)而對之歧視(discriminate),但得基於顧客之利益采取相關管理措施; 6. 寬頻提供業者,需揭露網路管理措施之方案資訊,以及管理措施對使用者所造成之影響。 參議員John McCain 則表示,網路中立(Net neutrality)的原則,將會扼殺創意和傷害就業市場,該議員並提出網路自由法案(Internet Freedom Act of 2009),認為該法案使避免網路受到政府管控,並且允許持續的創新和創造更多高價值之就業機會。維持網路事業的自由,免於沉重的規範,將是對經濟最佳之刺激方式。 同時也有人質疑,FCC並非授權管理網路之機構,且其所訂定之原則,並未具有法規效力,無法強制執行,而FCC制定該原則之意義為何?但FCC則表示,已獲得政策原則執行之授權。
美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).