日本也有EUA了!新修《藥機法》通過藥物緊急許可制度
日本也有EUA了!新修《藥機法》通過藥物緊急許可制度
資訊工業策進會科技法律研究所
2022年06月13日
去(2021)年12年底日本厚生勞動省發布「緊急時藥物許可制度總結[1]」(緊急時の薬事承認の在り方等に関するとりまとめ)文件,就日本藥物緊急許可制度(緊急承認)進行提案,並建議修法。接著,以該制度為中心之《藥物及醫療器材品質、有效性及安全性確保法》(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)(下稱藥機法)修正案,在今(2022)年3月經眾議院通過,4月經參議院通過成立,5月20日公布並即日開始發生效力[2]。主要條文規範在新法第14條之2之2及第23條之2之6之2。
壹、立法背景說明
修法之前,日本藥物上市審查有四種管道:一般許可(通常承認)、先驅審查指定制度(先駆け審査指定制度)、附條件許可(条件付き承認)、特例許可(特例承認)。「一般許可」係無特殊情形下之通常上市管道;「先驅審查指定制度」是針對治療嚴重疾病的劃時代創新藥物所創設之優先審查制度[3];「附條件許可」則是針對有效治療方法少、患者數量少的嚴重疾病的藥物審查制度[4];若遇緊急事件需使用藥物則是走「特例許可」管道使藥品能提早上市[5]。
根據去年日本厚生勞動省之調查[6],在傳染病大流行等類似緊急情況之下,日本當時對於藥品核准的對應方式存有兩大問題。
首先是對應的速度不夠快。在緊急狀況下,對於疫苗及藥物等的優先核准制度,即使是日本當時最快的「特例許可」管道,相較於歐美也較為耗時。以對抗新型冠狀病毒的莫德納疫苗為例,該疫苗在美國取得緊急使用授權(Emergency Use Authorization,下稱EUA)之後,約過了5個月才在日本獲得承認;而新型冠狀病毒的治療藥物Sotrovimab於日本國內的核准也晚於美國4個月[7]。
其二是特別許可的適用對象較窄,「特例許可」管道是為已在國外流通之藥品而設計,因此若是日本藥廠自行研發的疫苗、藥物或是療法,均無法依此管道上市。如日本藥廠塩野義所開發的新型冠狀病毒口服藥,即需要透過附條件許可之制度,或新的緊急許可制度加快上市速度。
鑒於前述原因,日本厚生勞動省參考美國EUA,提出了藥物的「緊急許可制度」。此二制度最大共通特點在於其均非藥品的正式上市制度,通過審查之後僅能在一定期間內上市流通,到期之後原則上應下架[8]。
貳、重點說明
緊急許可制度有四大重點[9],說明如下:
一、發動要件:為防止重大影響國民生命和健康之疾病蔓延,及防止其他健康損害狀況的擴大,有緊急使用之必要,且無使用該藥物以外替代手段時,得申請緊急許可。此處所稱之藥物包括了疫苗、治療藥物、普通藥品、醫療器械等產品。且緊急情況並不限於大規模流行性疾病,核事故、放射性污染、生化攻擊等情況亦適用緊急許可制度。
二、運用標準:在臨床試驗確認安全性的前提下,可以不需要完成有效性的完整試驗,得僅就現有的數據及資訊進行有效性之推定。舉例而言,若在海外進行的大規模驗證臨床研究中獲得了顯著的結果,則以日本受試者為主的臨床研究結果為非必要。
三、核准條件及期限:由於在有效性的階段給予核准,為了確保正確使用核准的藥物,應附上條件以及二年內之期限(有再延長一年之可能)。獲得許可後一定期限內若無法確認有效性,且判斷該醫藥品或器材不適合維持許可狀態時,將撤銷許可。
四、加速特別措施:對GMP檢驗、國家認證、容器包裝等採取特殊措施以加快核准速度。如在申請緊急許可當下,GMP檢驗有實施上困難,可以先暫緩,待核准後再補上檢驗程序。
參、與現存制度差異評析
特例許可是在緊急許可推出之前,在緊急情況下能在短期間內讓藥品上市之方式。特例許可是藥品正式上市流程,而緊急許可是在符合條件後暫時性准許上市,故兩者在範圍、運用基準以及期限等規定上存有明顯差異。
首先在範圍方面,特例許可係為了已在國外流通的醫療用品引進國內而設置,因此日本國內企業自行研發的新疫苗或是新治療藥等,無法透過特例許可上市[10],原則上需要透過一般藥物上市管道,因此新制度對於日本藥廠來說,形同多開闢了一條產品上市的道路。其次,在運用基準方面,特例許可應完整確認安全性及有效性,無法如新制般能僅由現存數據及資料推定該藥物之有效性[11],因此新制可以縮短臨床試驗所花費的時間。最後,由於特例許可為正式之上市許可,僅在簡化一般藥物之審查流程至2-3個月,故其無有效期間之規定[12],而依新制度上市之藥品在有效期間內仍須完成剩下的臨床試驗,否則期限屆至時原則上應下市。
肆、未來展望
由於緊急許可制度剛修法通過,日本國內目前尚未有以此管道核准上市之藥物或疫苗,因此核准程序所花費之時程,能否成功縮短至如美國EUA的三週內尚未可知。目前最有可能以此管道核准上市之藥物為日本藥廠塩野義的新型冠狀病毒口服藥,審查結果預計於7月發表[13],其發展究竟如何,值得我們拭目以待。
[1] 〈緊急時の薬事承認の在り方等に関するとりまとめ〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000873996.pdf(最後瀏覽日:2022/06/12)。
[2] 日本參議院網站,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208042.htm(最後瀏覽日:2022/06/12)。
[3] 〈先駆的医薬品等指定制度(先駆け審査指定制度)〉,獨立行政法人醫藥品醫療機器總合機構,https://www.pmda.go.jp/review-services/drug-reviews/0002.html (最後瀏覽日:2022/06/27)。
[4] 〈医薬品条件付早期承認制度への対応〉,獨立行政法人醫藥品醫療機器總合機構https://www.pmda.go.jp/review-services/drug-reviews/0045.html (最後瀏覽日:2022/06/27)。
[5] 同前註1。
[6] 同前註1。
[7] 〈緊急時の薬事承認の在り方について〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000856077.pdf(最後瀏覽日:2022/06/12)。
[8] 同前註。
[9] 〈令和4年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法)等の一部改正について〉,日本厚生勞動省網站,https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00006.html(最後瀏覽日:2022/06/12)。
[10] 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)第14條之3第2項。
[11] 同前註4。
[12] 周晨蕙、施雅薰,《科技法律透析》,〈COVID-19疫情下我國藥事法專案核准制度議題-以國際藥物緊急核准上市機制為借鏡〉,第33卷第10期,頁58(2021)。
[13] NHK,〈コロナ飲み薬 塩野義製薬「ゾコーバ」有効性や副作用 承認の可否は〉,2022/06/23,https://www.nhk.or.jp/shutoken/newsup/20220623a.html (最後瀏覽日:2022/06/27)。
蔡紫亘
副法律研究員 編譯整理
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
新加坡個資保護法責任指南新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)的基本原則之一在於可歸責性(Accountability)之建立,原因在於個資保護的責任歸屬,是組織對個資的持有與控制所為的承諾與責任表示。因此,PDPA第11、12條之法遵責任,組織必須對所持有或控制的個資負責,並且需制定並實施資料保護政策、溝通並告知員工相關政策、及履行PDPA義務所必須施行之流程與作法。於組織責任而言,PDPA雖有強制性義務責任,但應忖量組織內部責任歸屬的措施,而非僅將責任落於遵守法律的程度,組織必須從合於法規的方法轉為基於責任歸屬的方法來管理個人資料。 從而,該指南在政策、人員、流程等領域中透過資料生命週期的循環,確立組織責任歸屬。從落實良好的責任制始於組織領導力的概念出發,設定組織管理高層之職責與調性,繼而規劃處理個資及管理資料風險的方法。並由組織人員治理面向,確立溝通資訊與員工培訓知識與資源。除此之外,也在特定流程設置上,紀錄個人資料流動,了解如何收集、儲存、使用、揭露、歸檔或處理個人資料為流程的首要任務,繼而確認資料保護層面主要的差距與需要改進的領域。再將資料保護實踐於業務流程、系統、商品或服務。
新加坡發布《應用程式分發服務安全準則》以強化應用程式用戶保護為降低應用程式(App)用戶接觸有害內容的風險,新加坡資通訊媒體發展管理局(Infocomm Media Development Authority,IMDA)發布《應用程式分發服務安全準則》(Code of Practice for Online Safety for App Distribution Services),要求應用程式分發服務(App Distribution Services,ADSs)採取必要防護措施,並導入年齡驗證機制,以進一步強化兒童保護。該準則將於 2025 年 3 月 31 日 生效。 本次IMDA依據《廣播法》(Broadcasting Act)第45L條所發布之《應用程式分發服務安全準則》,係為進一步強化對App用戶的保護。ADSs作為數位裝置存取應用程式的主要入口,是許多網路內容(例如線上遊戲)的上架平台,當用戶透過 ADSs下載App的比例提高,其接觸不當內容的風險亦增加。因此,新加坡要求指定業者建立安全措施,以降低用戶接觸不當內容的風險。被指定業者包括:Apple App Store、Google Play Store、Huawei AppGallery、Microsoft Store及Samsung Galaxy Store等。該準則亦要求ADSs業者建立年齡驗證機制,訂定年齡分級標準並限制兒童存取及下載不適齡的App,同時強化家長控制功能。這一措施讓新加坡成為全球首批強制推動年齡驗證的國家或地區之一,其他國家包括澳洲、歐盟、英國及美國。IMDA 亦將持續與ADSs 業者溝通,確保其有效落實年齡驗證機制。 早在2023年1月,新加坡已於《廣播法》中將線上通訊服務納入規範,政府可要求業者封鎖惡性內容(egregious content),確保網路環境安全並保護兒童免受不當內容影響。此外,依據《網路安全準則》(Code of Practice for Online Safety),政府可要求指定社群媒體服務業者(如Facebook、Instagram、TikTok、Twitter與YouTube等)降低用戶接觸有害內容的風險。 為因應日益增加的有害線上內容,新加坡未來將持續與相關政府機構、產業及社群合作,推動適當的監管措施與公共教育,以確保新加坡用戶免受線上風險侵害。
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。