調和國際標準!美國食藥署提出醫療器材品質系統規則修正草案
美國食藥署(US Food and Drug Administration, FDA)於2022年2月23日提出「醫療器材品質系統規則修正草案(Medical Devices; Quality System Regulation Amendments proposed rule)」。本次修正旨在釐清現行條文與國際標準ISO13485醫療器材品質管理系統之異同,並進行適度調和。
根據修正說明,草案就現行條文與ISO13485一致之處將予保留,不一致者若屬落實授權母法「美國聯邦食品藥粧法(US Federal Food, Drug and Cosmetics Act, FD&C Act)」之必要內容,將斟酌條文用詞明確性調整後予以保留,其餘將予刪除。此外,草案也透過名詞解釋界定不同用語之定義範疇,嫁接現行條文與ISO13485落差處。對於現行條文中,與ISO13485性質相同但內容產生衝突之條文,基於依授權母法意旨,以現行條文為準。
FDA注意到,部分FD&C Act所重視的品質管理系統要求,在ISO13485中並未被重點凸顯,如記錄控管(control of records)、醫材標示(device labeling)及包裝控管(packaging controls)。本次修正特別針對此三部分保留並增補較ISO13485要求更為詳細的規範內容。在記錄控管部分,除依照ISO13485要求,記錄標的應為日期及簽署確認外,進一步依據FD&C Act規定,要求特定的服務及執行紀錄應予以紀錄,以作為醫材報告之內容。此外,也規定應詳實記錄醫療器材單一識別碼(Unique Device Identification, UDI)。在醫材標示及包裝控管部分,由於ISO13485僅指出產品應標示及包裝,但未詳述細節要求。因此,本次修正保留現行條文對於標示及包裝的細節性規定,以確保產品安全性及有效性。
本草案目前進入意見徵集期間,時間自2022年3月25日起至2022年5月24日止。後續FDA將視所徵集之意見,決定是否調整草案內容或公告施行。本次修定將使醫療器材品質系統規則與ISO13485趨於一致,預計可減輕廠商行政作業及支出負擔。
邱美蘅
法律研究員 編譯整理
Medical Devices; Quality System Regulation Amendments, 87 Fed. Reg. 10119, 379, (proposed Feb. 23, 2022) (to be codified at 21 C.F.R. pt. 4, 820).
謝易昕,〈美國FDA更新軟體預驗證計畫,以明確化數位健康科技的軟體器材審查流程〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8181&no=64 (最後瀏覽日:2022/03/07)。
莊晏詞,〈FDA公布修訂行動醫療APP指導原則〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=6848&no=64 (最後瀏覽日:2022/03/07)。
吳兆琰,〈美國眾議院提出軟體法案 為醫療APP提供規範方向〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=6385&no=64 (最後瀏覽日:2022/03/07)。
陳熙達,〈美國FDA發布「醫療器材單一識別碼系統」規則草案〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=5794&no=64 (最後瀏覽日:2022/03/07)。
由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 簡稱CISA)自2024年以來,持續主導並規劃《SBOM網路安全之共同願景》(A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity)之指引訂定,作為保障網路安全之國際共通指引。於2025年9月3日,由日本內閣官房網路安全統括室為首,偕同經濟產業省共同代表日本簽署了該份指引,包含日本在內,尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門,皆同步完成簽署。以下為指引之重點內容: 1. 軟體物料清單的定位(Software Bill of Materials, 簡稱SBOM) SBOM於軟體建構上,包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理(提供選用安全的軟體,提升供應商與使用者之間溝通效率)。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件,並針對弱點做出適當處置。 (2) 軟體資訊的透明化,可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點,使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中,發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明,適用符合安全性設計(Security by Design)之資安要求,以及須承擔SBOM相關告知義務。 近年來軟體物料清單(SBOM),已逐漸成為軟體開發人員與使用者,於管理軟體弱點上的最佳解決方案。然而,針對SBOM的作法與要求程度,各先進國家大不相同,因此透過國際共通指引的簽署,各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計,以確保所有類型的資通訊產品(特別是軟體)之使用安全,也鼓勵製造商為每項軟體產品建立SBOM並進行管理,包含軟體版本控制與資料更新,指引更強調SBOM必須整合組織現有的開發與管理工具(例如漏洞管理工具、資產管理工具等)以發揮價值。此份指引可作為我國未來之參考借鏡,訂定相關的軟體物料清單之適用標準,提升政府部門以及產業供應鏈之網路安全。
德國聯邦內政部對歐盟部長會議「資料保護基本規則」(Datenschutz-Grundverordnung)發表意見書,並提出修法建議德國聯邦內政部資料保護與資訊自由委員會於2015年8月15日針對歐盟部長會議於6月15日所確立對歐盟資料保護基本規則(Datenschutz-Grundverordnung)的基本立場,若依該立場則(1)資料處理目的之變更理由將變得更寬泛(2)對資訊保有機構所提出的申請程序以有償為原則(3)蒐集個人資料應遵循之規範過於簡略等,該委員會提出批評與建議。 該委員會會議認為有必要改進歐盟「資料保護基本規則」,令其更周延,更呼籲對資料保護基本規則的修正,應循以下重點及原則進行: 1.資訊節約原則應該堅持 多年來在德國法已確立的資訊節約原則(Datensparsamkeit)和資訊避免原則(Datenvermeidung),應予維持。因此資料保護基本規則中,須清楚詳盡地規定節約原則和資訊避免原則。 2.目的明確性原則的要求不能退縮 目的明確性原則(der Grundsatz der Zweckbindung)之功能,係為資料處理之透明性和可預見性,該原則亦強化了當事人的資訊自主權,使其得以信賴個人資料之處理,僅限於所申請之目的內進行。 故若依理事會建議之規範,使資料處理目的之變更,得以更寬泛的理由進行,將背棄歐盟基本權利憲章中之目的明確性原則。 3.即令個人同意書亦不得拋棄資訊主權 資訊自決權,意謂原則上個人可以用同意的方式,決定個人資訊的使用和拋棄。但即使有清楚明確的意思表示,該同意亦僅係保障資訊主權的重要因素之一。另就同意書而言,若如歐盟部長理事會所建議者,只需清楚明確即可,則這種方式於保護上是不夠充分的。 4.個人資料建檔必須有效地限制 該會議重申,嚴格規範對個人資料的蒐集有其必要性。為個人檔案之整合與充分使用設置嚴格的界限,現有規定太過簡略而遭到批評。 5.有效的資訊保護需要歐盟層級的企業與官署的資料保護專員 對於資訊保護監督的有效性,在德國已確立之官方與私人企業的資訊保護專員制度係重要之一環。應致力於歐盟層級公/私機構資訊保護專員制度在整個歐洲的推動。 6. 資訊傳輸第三國官署和法院需要更嚴格的監督 近期的隱私醜聞之後,目前亟需對歐洲公民個人資料給予更妥善的保護,以對抗來自第三國的機構。此意見書贊同歐盟議會的建議,即以第三國法院的判決和行政機關的決議,要求對個人資訊的披露,在歐盟之中僅能基於國際公約中機關互助和法律協助之規定,原則上予以承認與執行。