守護新藥數據 架資安防火牆

近年癌症免疫治療的新藥通過美國食品藥物監督管理局核准上市，這類創新技術再度引起各大藥廠關注而投入開發之列。新藥開發是大量的人力、物力、經費及時間累積的成果，動輒十年的開發時程讓不少藥廠聞之卻步，因此而專注於專利到期後的學名藥產品。

為了提升研發效率，跨國藥廠積極尋求擁有創新技術的合作夥伴共同開發藥物，並透過委外合作，將臨床試驗等執行外包給委託研究機構（Contract Research Organization, CRO）等單位，或是交由委託製造機構（Contract Manufacturing Organization, CMO）生產試驗用藥品，隨著委託研究業務漸趨成熟，形成複雜的新藥研發鏈。

過程中，由於專利申請、藥品許可證申請都需要完整的臨床試驗數據加以佐證；而這些數據的安全性、正確性等，都是藥廠新藥研發能夠確保合規且避免數據外洩風險的重要關鍵。

新藥開發除透過專利保護外，國際藥廠多透過營業秘密方式進行保護，以保護專利以外的關鍵研發資訊。而營業秘密涵蓋的範圍，可能包含製程、操作文件、實驗結果等這類研發資料。

此外，新藥開發重要的資訊尚包含了實驗報告數據、研發人員資訊、藥品配方、製程開發資料、臨床試驗資料、以及未來公司營運策略等，因此涵蓋層面甚廣。但，若要以營業秘密來保護這類研發資料，雖不須事先申請，但是必須符合營業秘密法第2條之三項要件。依據營業秘密法第2條所指稱的營業秘密，係指方法、技術、製程、配方、程序、設計或其他可用於生產、銷售或經營之資訊，而符合要件者。這三項要件包含：

一、具秘密性：非一般涉及該類資訊之人所知者；二、具經濟價值：因其秘密性而具有實際或潛在之經濟價值者；三、已採取合理保護措施：所有人已採取合理之保密措施者。

因營業秘密不需申請，亦無需如專利權一樣對外公開，藥廠可依據需求與商業布局，就其新藥技術來選擇是否申請專利，或逕以營業秘密加以保護。但實務上，常有認為是營業秘密的資料外洩，對簿公堂時，才發現於「已採取合理保護措施」的環節未落實（如：未聲稱其為秘密或存取時未加以控管等），導致訴訟失敗。

營業秘密需要從人、流程、資料、技術等層面完善的管理架構，並採取能夠與訴訟策略互相搭配保護措施，才能有效預防與因應。此外，數據安全不只在傳統的內部檔案存取與資料交換，由於雲服務與行動技術的發展加速了資訊流通，在採用相關新技術應用時，也必須考量如何控制，以降低數據遺失或外洩相關風險。

目前台灣新藥開發公司建立研發風險管理制度大多是為了符合《公開發行公司建立內部控制制度處理準則》，其中第七條指出公開發行公司之內部控制制度應涵蓋所有營運活動，在研發循環方面，其內部控制制度應包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄與文件保管、智慧財產權取得、維護及運用等政策及程序。

然而若僅是幕僚單位投入作業，也僅淪為紙上談兵，當風險發生時無法發揮實質作用。董事會、經營管理委員會的支持是企業推動營業秘密保護的關鍵角色，必須從上層管理階層至全公司相關部門都納入營業秘密風險管理的規劃與討論，才能讓管理制度趨於完整。

研發資料的風險管理不僅是規畫文件，而是涵蓋事前預防與事後因應的管理策略，核心概念是如何在面臨風險後持續生存。事前預防涵蓋了營業秘密保護制度建立、資料保護控制與證據留存、資訊外洩的緊急應變等，事後因應處理如事件調查與數位鑑識。

新藥開發公司初期或許尚無法擁有足夠資源建立完善的研發資料保護及風險管理制度，但最好及早將新藥研發每個階段可能發生的風險納入未來企業規畫藍圖中，才能在事件發生前將可能危害降至最低，達到風險控制的目標。

 (本文已刊登於2016.10.24 經濟日報A14生技版)