淺談個人化精準醫療相關法律
撰文/Pharm Vicente、蔡明秀
前言
精準醫療是現今醫學界的一大潮流,而個人化醫療即是精準醫療的實踐之一。在過去傳統醫療中,通常使用相同的治療方法醫治同一種疾病,也就是所謂的「one-size-fits-all」。此種方法在發展過程中已逐漸變得過時,據「個人化醫療聯盟的2017年度報告」指出:在疾病治療中,無效藥物高達38%至75%。慶幸的是,隨著我們對病因等機轉有更多的了解後,我們可以根據不同病人的身體情況和不同疾病的分子機制,結合大數據統合的人體基因庫作比對分析,針對病人實施更加準確的藥物治療。但個人化醫療的蓬勃發展也相對應的帶出了一些問題,為了個人化打造醫療用品,需要透過採樣將參數資料經過分析;或是為了更有效了解病人情況,可能許須植入物原位評估;或又如何跨單位整合數據資料庫,以及收集病歷資料的個資及研究倫理等。在精準醫療的發展中,相關法規的訂定難易度絕對是需要謹慎去考量的事,在這篇文中,將舉幾個先進國家的例子以供參考,期許未來台灣在相關政策上也能有進一步的成長。
歐盟
對於精準醫療的發展,英國走在最前頭。自2013年起英國宣布啟動四年的「十萬基因體計畫」,此計畫主要由國有的英國基因組公司(Genomics England)負責執行,針對國民醫療保健制度中所記錄的10萬名病人的完整基因組進行測序,並把所得的大量資料整合進英國公共醫療體系當中。除此之外,2015年4月英國宣布成立精準醫療推動中心,藉由區域性合作網絡,利用各地的資源收集和分析臨床資料,並將國家健康服務的概念運用在精準醫療的發展。
至於歐盟在收集資料的方面,當然也有相應的法規。歐盟委員會於2012年起啟動修法計畫,並提出《數位醫療行動計劃2012-2020》(eHealth Action Plan 2012-2020-Innovation healthcare for the 21st century),以作為法規定利基礎。此次修法,將資料保護從指令提升到法規層級,並直接適用各會員國。歐盟也成立「歐盟資料保護委員會(EDPB)」維護法規一致性。其中,即包含2016年5月4日通過的「一般資料保護法(GDPR)」。
GDPR擴大受規範的群體及資料保護範圍,包括:身分和生物特徵資料及線上定位資料。GDPR也提高當事者的權利,包含使用資料的目的及誰想要使用,甚至也可要求收集者刪除自身相關資料,也就是「被遺忘權」。對於安全維護的機制,GDPR指出應將個人資料進行假名化,做到一定的加密程度;確保系統的可取得性、機密性、完整性和彈性。此外,若需大規模處理基因資料、生物特徵是別資料等與健康相關資料時,應具備專業的資料保護專員,並於處理前進行評估。大原則下,還有更多詳細條文及規章,在此不一一列出。罰則方面,當違反有關資料控管者及資料處理者之義務,最高得處以1000萬歐元之行政罰鍰;企業方面,則可處以前一會計年度全球年營業額之2%,兩者中以較高者為準;若涉及非法處理個人資料,違反個人資料國際傳輸規定,侵害當事人之權利等行為,則最高可達2000萬歐元或前一會計年度全球營業額4%。
在《數位醫療行動計劃2012-2020》中也指出可能會面臨到的困難:病人專家對此缺乏信任、數位醫療應用軟體需要釐清相關法規(目前還不夠透明)、不適當或分割的法律架構等,都是歐洲正在面對的情形。透過逐漸嚴謹的規章制度,才能保障未來醫療產業的品質管理及資訊安全等,而後續發展也都值得我們進一步去了解及觀察。
至於歐盟在收集資料的方面,當然也有相應的法規。歐盟委員會於2012年起啟動修法計畫,並提出《數位醫療行動計劃2012-2020》(eHealth Action Plan 2012-2020-Innovation healthcare for the 21st century),以作為法規定利基礎。此次修法,將資料保護從指令提升到法規層級,並直接適用各會員國。歐盟也成立「歐盟資料保護委員會(EDPB)」維護法規一致性。其中,即包含2016年5月4日通過的「一般資料保護法(GDPR)」。
GDPR擴大受規範的群體及資料保護範圍,包括:身分和生物特徵資料及線上定位資料。GDPR也提高當事者的權利,包含使用資料的目的及誰想要使用,甚至也可要求收集者刪除自身相關資料,也就是「被遺忘權」。對於安全維護的機制,GDPR指出應將個人資料進行假名化,做到一定的加密程度;確保系統的可取得性、機密性、完整性和彈性。此外,若需大規模處理基因資料、生物特徵是別資料等與健康相關資料時,應具備專業的資料保護專員,並於處理前進行評估。大原則下,還有更多詳細條文及規章,在此不一一列出。罰則方面,當違反有關資料控管者及資料處理者之義務,最高得處以1000萬歐元之行政罰鍰;企業方面,則可處以前一會計年度全球年營業額之2%,兩者中以較高者為準;若涉及非法處理個人資料,違反個人資料國際傳輸規定,侵害當事人之權利等行為,則最高可達2000萬歐元或前一會計年度全球營業額4%。
在《數位醫療行動計劃2012-2020》中也指出可能會面臨到的困難:病人專家對此缺乏信任、數位醫療應用軟體需要釐清相關法規(目前還不夠透明)、不適當或分割的法律架構等,都是歐洲正在面對的情形。透過逐漸嚴謹的規章制度,才能保障未來醫療產業的品質管理及資訊安全等,而後續發展也都值得我們進一步去了解及觀察。
美國
美國聯邦政府於 1996 年即已頒佈「醫療保險可攜與責任法案(Health Insurance Portability and Accountability Act, HIPAA Act) 」,並授權公共服務部制定個人健康醫療資訊相關規範, 其中 2002 年發布的隱私規則(Privacy rule)與資安規則(Security Rule),即成為美國對個人健康資訊管理的主要架構。2009 年為進一步推動電子病歷應用而制定的「經濟和臨床健康之健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH Act)」,則強化資料外洩時相關機構的通報責任與違反 HIPAA Act 的處罰,並於 2013 年整合修訂為 HIPAA 最終規則(HIPAA final omnibus Rules)。
在 HIPAA/HITECH 的架構下,包含醫療照護的提供者(Health Care Provider)、保險機構等健康計畫(Health Plan)的管理與給付單位、健康資訊處理機構(Health Care Clearinghouses)、以及向上述單位提供服務的業務夥伴(Business associates)等「受管轄機構(covered entity)」。只要涉及受保護健康資訊(Protected Health Information, PHI)都必須符合相關規範的要求。為進一步促進網路安全資訊的交流,美國總統歐巴馬於 2015 年簽署通過「網路安全法案(Cybersecurity Act of 2015)」,除了加強美國聯邦各部門間的資安交流機制,也將建立一個自願性的網路資訊安全分享架構,免除民間機構向公務機構提供網路安全資訊的相關法律責任,期盼藉由提高網路資安訊息共享來改善網路安全問題。
以下就來簡述HIPAA/HITECH Act 架構下之個人健康資訊安全保護原則與維護要求,首先是隱私規則(Privacy Rule)的部分,其中包含了
1.禁止未經授權的使用或揭露
2.受管轄機構僅能使用或揭露為達特定目的所需之最少且必要之個人受保護健康資料
3.分級授權使用原則,依職務身分之不同,限制其能接觸使用的資料範圍
4. HIPAA隱私規則中明文要求受管轄機構必須制定相關之隱私保護措施,包括須制定機構內的隱私保護政策與施行步驟;再來是資安規則(Security Rule),其中包含了
(1)須確保電子資料之機密性、完整性與可取得性
(2)應具備資訊安全維護措施
(3)應執行風險分析與危害管控;第三部份是發生健康資料外洩時之危害通報要求,當發現可能危害當事人的未加密個人健康資料外洩時,必須於60天內將資料外洩情形與相關處置方法通知當事人,若資料外洩波及的人數達500人以上時,則必須同時及時通報美國衛生及公共服務部(HHS)。隨著提供數位健康產業服務的業者結構之多樣化發展 ,如果是不屬HIPAA/HITECH Act受管轄機構的健康資訊外洩情形,必須向美國聯邦貿易委員會( FTC)通報健康資訊外洩情形,相關通報要求與期限則與 HIPAA/HITECH Act 的規定一致;最後一部分則是違反 HIPAA/HITECH Act之相關罰則,為嚇阻資訊安全危害事件的發生,HITECH Act修訂提高相關罰則,當發生違反相關規定的事件時,若未能於 30 天內修正相關危害情形,最高將面臨5萬美元之罰鍰,若違反事件重複發生則單一年度最高可開罰達150萬美元。若涉及詐欺或為取得商業或個人利益而販售、傳輸或使用個人受保護健康資料等犯罪行為,還可能面臨最多達25萬美元的罰款和10年之刑期。
在 HIPAA/HITECH 的架構下,包含醫療照護的提供者(Health Care Provider)、保險機構等健康計畫(Health Plan)的管理與給付單位、健康資訊處理機構(Health Care Clearinghouses)、以及向上述單位提供服務的業務夥伴(Business associates)等「受管轄機構(covered entity)」。只要涉及受保護健康資訊(Protected Health Information, PHI)都必須符合相關規範的要求。為進一步促進網路安全資訊的交流,美國總統歐巴馬於 2015 年簽署通過「網路安全法案(Cybersecurity Act of 2015)」,除了加強美國聯邦各部門間的資安交流機制,也將建立一個自願性的網路資訊安全分享架構,免除民間機構向公務機構提供網路安全資訊的相關法律責任,期盼藉由提高網路資安訊息共享來改善網路安全問題。
以下就來簡述HIPAA/HITECH Act 架構下之個人健康資訊安全保護原則與維護要求,首先是隱私規則(Privacy Rule)的部分,其中包含了
1.禁止未經授權的使用或揭露
2.受管轄機構僅能使用或揭露為達特定目的所需之最少且必要之個人受保護健康資料
3.分級授權使用原則,依職務身分之不同,限制其能接觸使用的資料範圍
4. HIPAA隱私規則中明文要求受管轄機構必須制定相關之隱私保護措施,包括須制定機構內的隱私保護政策與施行步驟;再來是資安規則(Security Rule),其中包含了
(1)須確保電子資料之機密性、完整性與可取得性
(2)應具備資訊安全維護措施
(3)應執行風險分析與危害管控;第三部份是發生健康資料外洩時之危害通報要求,當發現可能危害當事人的未加密個人健康資料外洩時,必須於60天內將資料外洩情形與相關處置方法通知當事人,若資料外洩波及的人數達500人以上時,則必須同時及時通報美國衛生及公共服務部(HHS)。隨著提供數位健康產業服務的業者結構之多樣化發展 ,如果是不屬HIPAA/HITECH Act受管轄機構的健康資訊外洩情形,必須向美國聯邦貿易委員會( FTC)通報健康資訊外洩情形,相關通報要求與期限則與 HIPAA/HITECH Act 的規定一致;最後一部分則是違反 HIPAA/HITECH Act之相關罰則,為嚇阻資訊安全危害事件的發生,HITECH Act修訂提高相關罰則,當發生違反相關規定的事件時,若未能於 30 天內修正相關危害情形,最高將面臨5萬美元之罰鍰,若違反事件重複發生則單一年度最高可開罰達150萬美元。若涉及詐欺或為取得商業或個人利益而販售、傳輸或使用個人受保護健康資料等犯罪行為,還可能面臨最多達25萬美元的罰款和10年之刑期。
結論
美國與歐盟各國是我國醫療器材的主要出口市場,隨著大數據與監測雲端服務的進步發展,我國也應逐漸脫離單純製造業者的角色,朝向整合服務的提供者,以創造更高的企業價值。同時,也期許台灣能在個人化醫療的領域有更深的理解及實踐。而在法規方面,美國與歐盟完善的個人資料與資安保護法律啟用後,將是醫療器材業者業者必須嚴謹遵循的規定,也是台灣能進一步邁進的方向。至於
後續美國與歐盟實際執行方法,值得國內各界的細心關注與了解,而這些法律也可成為我國主管機關訂立相關法規之參考。
後續美國與歐盟實際執行方法,值得國內各界的細心關注與了解,而這些法律也可成為我國主管機關訂立相關法規之參考。
參考資料
發展精準醫療的三大挑戰;作者:吳佳翰 (摘自Deloitte網站)
https://www2.deloitte.com/tw/tc/pages/life-sciences-and-healthcare/articles/precision-medicine.html
由「個人化醫療2017年度報告」看精準醫療進展;作者:王子豪 (摘自台灣精準醫學學會)
http://www.tpms.org.tw/2017/03/20/%E7%94%B1%E3%80%8C%E5%80%8B%E4%BA%BA%E5%8C%96%E9%86%AB%E7%99%822017%E5%B9%B4%E5%BA%A6%E5%A0%B1%E5%91%8A%E3%80%8D%E7%9C%8B%E7%B2%BE%E6%BA%96%E9%86%AB%E7%99%82%E9%80%B2%E5%B1%95/
個人健康醫療資訊之美國與歐盟法規管理方向;作者:葉錫誼 (摘自財團法人醫藥品查驗中心─當代醫藥法規月刊)
http://www.cde.org.tw/Content/Files/Knowledge/684be833-6d80-4074-b02a-939fb4e99901.pdf
個人化醫療時代─淺談精準生物材料的發展概況;作者:吳冠勳 (摘自財團法人醫藥品查驗中心─當代醫藥法規月刊)
http://www.cde.org.tw/Content/Files/Knowledge/e2766fbd-8ded-4e29-a7d1-596a5c0f573e.pdf
國際數位醫療法規與國際標準變革;作者:勤業眾信、HEA亞洲健康互聯整理 (摘自亞洲健康互聯集團網站)
https://www.hea.com.tw/infoDetail.asp?id=436&fbclid=IwAR12BRM6iO-mAvs_ti03zqOcqpKoQvWLaJNaHtuvEOZjRIvhye-PPF2Wx_4
精準醫療之各國推動政策觀察;作者:葉席吟 (摘自Research Portal網站)
https://portal.stpi.narl.org.tw/index/article/10278;jsessionid=D1A9E0EDCC3AC8F1666850DDF52F69BA?fbclid=IwAR0Dx2Bmlmeo0SjlLC4GpxdmetNT04v4FRPps65tzsFlF59-Q2tbseB2JyM
封面圖片出處
https://www.libogene.com.tw/tag/%E7%B2%BE%E6%BA%96%E9%86%AB%E7%99%82/