新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料

美國監管醫療用基因檢驗之法制與實務趨勢 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要 　　精準醫療多搭配基因檢驗技術的研發與應用，以幫助醫師針對個體提供精確的診斷及治療服務。以美國現況而言，許多新的醫學檢驗技術在各實驗室中研發，且迅速發展至臨床應用，但必須經過醫療器材上市許可後，始得於實驗室外運用。 　　美國國會於1976年修正《聯邦食品藥物與化妝法（Federal Food, Drug, and Cosmetic Act）》後，將「體外診斷醫療器材」納入醫療器材的規範，同年美國食品藥物管理署（Food and Drug Administration, FDA）便宣佈對實驗室自行研發之檢驗技術（Laboratory Developed Tests, LDTs）行使「自由裁量權」（Enforcement Discretion），排除於《聯邦食品藥物與化妝法》的管理之外，讓實驗室內LDTs的應用可享較為寬鬆的空間[1] 。 　　換句話說，由於典型之LDTs僅為實驗室內部使用，且測試方式簡易，需求量亦不高，可由「醫療保險與醫療補助服務中心」（The Center for Medicare & Medicaid service, CMS）依據《臨床實驗室改進修正案（Clinical Laboratory Improvement Amendments, CLIA）[2]》之規範，施行臨床實驗室的品質管理。臨床實驗室於通過CLIA認證後，即可將開發的LDTs進行臨床應用。 　　然而，1976年迄今，LDTs的發展已經有許多的變化，運作LDTs的實驗室往往獨立於醫療服務機構（Healthcare Delivery Entity）之外，而依賴於許多高科技的儀器、軟體來產生結果及解釋，增加了許多以往沒有的風險；其商業模式也已經大幅的改變，已經大量製造、用於直接的臨床診斷決策上[3]。因此，美國FDA認為有必要引進一個全面性的監管架構管理LDTs，而非像過去一樣，將其排除於《聯邦食品藥物與化妝法》的管理之外。 貳、重點說明 　　FDA近年來加強基因檢驗風險監管之具體行動，包括LDTs監管架構之研擬以及加強實務取締，以保障病人的權益。 一、LDTs監管架構指引草案 　　美國FDA曾於2014年公布兩項指導文件，分別為「實驗室自行研發檢驗方法監管架構指引草案[4]」以及「實驗室自行研發檢驗技術須執行通知上市與不良事件通報之草案[5]」（以下統稱LDTs監管架構指引草案）。LDTs監管架構指引草案希望提升LDTs的規管密度，並規劃將LDTs分為數個不同的類別，依據其風險程度的高低，分別要求其進行包含取得上市前許可、符合品質系統規範等不同程度之要求。 　　該指引草案公布後，受到各臨床實驗室、醫療單位、病人與傳統體外診斷試劑製造商、政府部門等熱烈討論。特別是業界擔憂監管密度的提高，會扼殺臨床實驗室的創新意願，使得實驗檢驗技術、方法與應用停滯，並耗費大量的人力與金錢成本。 　　美國FDA最後於2017年1月13日說明，短期內不會執行該指引草案內容，但會尋求更加全面的立法解決方案[6]。歸納各界對指引草案之看法，顯示對LDTs的額外監督是必要的，但對於如何監管則有不同看法，未來主管機關應基於下列原則，提出符合科學證據、經濟效益並兼顧臨床安全性之管理方案，重點摘述如下： （一）以風險等級為基礎，並分階段實施監督 　　之後的四年內將分階段要求LDTs逐步進行上市前審查，第一年實驗室必須回報LDTs所有的嚴重不良反應；第二年將要求與第三級高風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的上市前審查；第三年要求與第二級中風險醫療器材具有相同用途的新型或改良LDTs，必須經過一致的510(k)上市前通知；第四年則完成LDTs全面性的監督，並且原則上與醫療器材採取一致標準。 （二）以檢驗之分析效能與臨床有效性，作為核准基礎 　　目前CMS已有實驗室檢驗之臨床效用（clinical utility）審查，但與FDA上市前審查所需之分析效能與臨床有效性有所差異。是故，FDA將制定適合的審查標準，以減輕實驗室提交審查的負擔，並加速上市前審查的審核時間。 （三）不良反應通報系統 　　將參考既有醫療器材上市後監督機制（postmarket surveillance），監控LDTs在真實世界的效能及臨床結果（real-world performance and clinical outcomes）。 （四）健全實驗室之品質系統 　　FDA將會密切與CMS合作加強實驗室的品質系統要求，但會與既有CLIA等認證制度相互調和、不會重複監督。 （五）公開檢驗性能資訊供大眾取得 　　實驗室必須將LDTs檢驗的分析效度及臨床有效性等相關資訊，公開讓民眾可取得。 （六）免除特定類型檢驗之上市前審查 　　對於特定類型的LDTs可免除上市前審查、品質系統及註冊登記之義務，如：對健康影響較低者、罕見疾病使用之LDTs等。 二、加強基因檢驗之執法 （一）23 and Me遺傳健康風險個人基因體服務 　　雖然在LDTs規範上，美國FDA暫時未有全盤性的改變；但在個案上，開始有逐步的調整。美國FDA在2013年11月時，發函警告生技公司「23 and Me」，認為其銷售的「個人基因體服務」（personal genome service, PGS）應該屬於《聯邦食品藥物與化妝法》所規定的第三級醫療器材（風險程度最高的醫療器材），但由於其未取得美國FDA的上市前許可，因此應該立刻停售；其後，23 and Me將其旗下的「遺傳健康風險個人基因體服務」（PGS Genetic Health Risk）向美國FDA申請並取得第二級醫療器材許可[7]。 （二）Inova藥物反應基因檢驗 　　2019年另外一起案例，亦顯示美國FDA從嚴限制LDTs在實驗室外應用之決心。美國FDA於2019年4月4日向Inova基因體實驗室（Inova Genomics Laboratory）寄發通知函，表示其自行研發之MediMap Plus基因檢驗產品，用於預測病人對藥品的反應與接收度，必須先完成FDA上市前審查程序，始得進行商業販售[8]。 　　Inova基因體實驗室雖回覆表示，MediMap Plus基因檢驗產品屬於LDTs的範疇，所以不應該受到FDA上市前審查或任何標示要求之拘束。嗣後，FDA則直接寄發警告函，申明其並未針對LDTs創設任何責任免除條款，且為了促進公眾安全，FDA對於LDTs保留裁量權[9]。對於FDA的警告，Inova決定停止執行MediMap Plus之販售，也不會申請上市前審查[10]。 三、小結 　　由於基因檢驗之安全及確效涉及面向十分廣泛，美國監管體系主要係以《聯邦食品藥物與化妝法》之醫療器材規範，搭配行之多年的CLIA實驗室品質管理制度，以完備各環節之風險管理。申言之，即便基因檢驗技術僅屬實驗室內應用，並未在外流通，亦屬實驗室品質管理之範疇，必須依據CLIA實驗室分類進行能力測試或實地查核。 　　其次，美國對於LDTs的監管雖然認為不宜貿然與醫療器材規範一致，但未來仍將參考醫療器材的風險等級基礎，並盡量提高審查的效率，此趨勢與歐盟新的醫療器材法規[11]一致。 參、事件評析 　　我國近年來政府與民間在基因檢驗的監管上亦有所討論，特別是LDTs之管理方向、管制密度之取捨、實驗室品質標準等[12]。從美國醫療用基因檢驗監管趨勢觀之，建議我國未來或可釐清不同目的之基因檢驗，如商業用、實驗用、醫療用等，進而明確醫療用基因檢驗之監管密度，並依不同風險程度採取分級監理，以在新技術應用與病人權益保護之間取得平衡。 [1]Center for Devices and Radiological Health, Food and Drug Administration, Draft Guidance for Industry, Food and Drug Administration Staff, and Clinical Laboratories: Framework for Regulatory Oversight of Laboratory Developed Tests (LDTs), Oct. 03, 2014, https://www.fda.gov/media/89841/download (last visited Jan. 07, 2020), at 6-7. [2]42 USC 263a, available at https://www.govinfo.gov/content/pkg/USCODE-2011-title42/pdf/USCODE-2011-title42-chap6A-subchapII-partF-subpart2-sec263a.pdf (last visited Dec. 26, 2019). [3]呂雅情，〈實驗室自行研發檢驗技術(LDTs)的發展與法規管理現況〉，當代醫藥法規月刊，2018/02/09，https://www.cde.org.tw/Content/Files/Knowledge/cc18e890-c1e3-4e6e-8bbd-45d7afd6cee9.pdf（最後瀏覽日：2020/01/07），頁17。 [4]Supra note 1, at 7-8. [5]id. at 30. [6]Food and Drug Administration, Discussion Paper on Laboratory Developed Tests (LDTs), Jan. 13, 2017, https://www.fda.gov/media/102367/download (last visited Jan. 07, 2020), at 1. [7]何建志，〈精準醫學趨勢下基因檢驗與消費者保護法律問題〉，《月旦醫事法報告》，第25期，頁44-45（2018）。 [8]Food and Drug Administration, Inova Genomics Laboratory, Apr. 04, 2019, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/inova-genomics-laboratory-577422-04042019 (last visited Dec. 19, 2019). [9]Food and Drug Administration, Laboratory Developed Tests, Sep. 27, 2018, https://www.fda.gov/medical-devices/vitro-diagnostics/laboratory-developed-tests?fbclid=IwAR3gOzax6O0eUx67IpZBNpmvPrW6ynuP0P99Dlt4AGKZtxvwGSoYOx5EmFA (last visited Dec. 19, 2019). [10]GenomeWeb, Inova Decides to End PGx Test Offerings in Response to FDA Warning Letter, Apr. 15, 2019, https://www.genomeweb.com/regulatory-news/inova-decides-end-pgx-test-offerings-response-fda-warning-letter#.XNkp0hQzbIU (last visited Dec. 19, 2019). [11]歐盟2017年5月25正式生效新版醫療器材法規（Medical Devices Regulations, MDR； Regulation (EU) 2017/745）以及體外診斷醫療器材法規（In Vitro Diagnostic Devices Regulations, IVDR；Regulation (EU) 2017/746）。 [12]蔡雅雯、林工凱、黃品欽、謝文祥，〈基因檢驗法規監管方向初探〉，《台灣醫界》，第62卷第12期，2019/12，https://www.tma.tw/ltk/108621207.pdf（最後瀏覽日：2020/02/06）。

　　美國政府於今年（2012年）02月23日提出「消費者隱私保護法案」（Consumer Privacy Bill of Rights），總統歐巴馬認為：「為保護美國消費者網路上的個人資訊，清楚的法律已刻不容緩。電子商務的成功，必須讓消費者感到安全…，保護消費者的資訊能確保網路交易平台的成長」。 　　白宮提出的法案中明確點出下列幾項值得關注的議題：1、獨立控制：消費者有權了解自身資料被誰蒐集，以及他們如何使用這些資料。2、透明度：消費者能容易的了解隱私及資訊安全的訊息。3、考慮內文：消費者有權期待蒐集個人資料的組織，處理個人資料的方式能提供消費者知悉並且言行一致。4、安全：消費者的個人資料應受到安全可信任的保護。5、近用與正確性：消費者有權查詢與更正個人資料。5、集中蒐集：企業僅能有限度的蒐集消費者資訊。6、責任：消費者有權要求蒐集資訊的公司妥善保管個人資料並遵循「消費者隱私保護法案」。 　　美國商務部及資訊管理局會將在未來幾周進行細部的規劃，並尋求技術專家、業界、學者的意見，商務部將研擬相關具體可行的做法。

電腦製造大廠HP 於得知其競爭對手Oracle 公司聘用其離職總裁Mark V. Hurd後隨即於加洲法院提起違約(breach of contract)及即將發生盜用營業秘密(threatened misappropriation of trade secrets)之訴訟，但又在短短兩周內雙方達成和解。 HP前總裁Mark V. Hurdy 於八月因被HP董事會指控違反該公司之企業行為規範（code of business conduct）而閃電辭職，隨即受邀接受擔任Oracle 公司共同總裁(Co president) 一職。HP於獲知消息後隨即對Mark V. Hurd提起違約及即將發生盜用營業秘密之訴訟。HP表示其前總裁簽署過保密合約對HP之營業秘密及機密資訊負有保密之義務。HP認為若Mark V. Hurdy任職於其競爭對手Oracle 公司，將對HP造成威脅且將會違反其所負擔之保密義務，因為了於Oracle 公司執行其職務，Mark V. Hurdy必然會使用且洩漏HP之營業秘密及機密資訊。 然於在不到兩周的時間，雙方隨即達成和解。Mark V. Hurdy承諾不會洩漏HP的營業秘密給他的新雇主同時必須放棄346,030 units 的限制性股權(restricted stock units)，總價值高達美金4千萬元。 多數觀察家認為HP提起此訴訟案之目的不在阻止其前總裁前往競爭對手工作而主要是在企圖追回Mark V. Hurdy因離職而取得的大量股票權益。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2017年7月公告Royal Free國家健康服務基金信託（Royal Free London NHS Foundation Trust）與Google人工智慧研究室DeepMind之間的資料分享協議，違反資料保護法（Data Protection Act）。 　　該協議之目的在使DeepMind利用Royal Free所提供的醫療資料，開發一款名為Streams的應用程式，透過人工智慧系統分析得知病患惡化之情況，並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人，協議的合法性，尤其在資料分享是否經病患同意方面，受到質疑。 　　Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護，具有病患默示同意（implied consent）之正當基礎，且資料經加密後才傳給DeepMind。惟經ICO調查結果如下： 就資料將被使用作為應用程式測試一事，病患未獲充分告知亦無合理期待； 雖執行隱私影響評估，惟僅於資料傳給DeepMind後才進行，無法發揮事前評估作用； 應用程式尚在測試階段，無法說明揭露160萬病患紀錄的必要性與手段合理性。 　　目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。