[觀點] 談醫療資訊的安全防護

對於現今的醫療業者而言，資訊系統的應用已扮演了非常重要的角色，除了能提供有效率與高品質的醫療服務之外，也提供了更多生命安全的保障，因此，如何確保醫療資訊的安全，已成為醫療業者無法忽視的重要課題。

在2009年3月，香港聯合醫院一位醫師，遺失了存有47名病患個人資料的隨身碟，引起了相關單位的重視；2009年5月，美國加洲柏克萊醫療中心的資料庫，遭到駭客入侵，竊取了相當於身分證字號的社會安全卡號和健保資訊，估計有近16萬人受到影響；2009年11月，台大醫院發生了近年來第2次的電腦當機事件，造成掛號、病歷查詢和領藥系統的失效，影響上千名病患的就醫權益，幸好未造成延誤就醫而影響生命安全的事件發生。

今日醫療業者所面臨的挑戰，包括了就醫品質、病患照護、病患安全及法規要求等各個層面，而透過了醫療資訊科技的運用，可有效協助業者因應各項問題，像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等，除了可以降低醫療疏失的發生機率，也能同時降低營運的成本，並提升民眾就醫時的滿意度。

近年來，隨著醫療資訊安全和個人隱私的保障要求，行政院衛生署在2003年6月啟用了醫事憑證IC卡，藉由其提供的資料加密和簽章機制，可確保醫療資訊的機密性、完整性和不可否認性，避免醫療資訊遭受不當的竄改和偽冒。

另外，在政府對於電子病歷的強力推動之下，在已制定的「醫療機構電子病歷製作及管理辦法」中，亦明定電子病歷僅能開放給經過認證與授權的人員使用，對於資料的內容只能以附加方式處理，而不得任意直接修改或刪除已確認之病歷資料，同時也必須結合電子簽章之技術，以達到可確認原製作之醫療單位與醫事人員的身分，供後續的追蹤查核之用。

醫療資訊安全的目標

資訊科技的應用如同水能載舟、亦能覆舟一般，如果資訊的傳遞未受到良好的防護，或是忽略了處理資訊等相關系統的可用性，就可能導致一連串的問題發生，其中，尤以醫療資訊的外洩影響層面最廣，目前，一般民眾的醫療資訊內容包括：

• 基本資料 - 包括姓名、性別、出生日期、身分證字號、通訊地址、電話、病歷號碼等。
• 就醫記錄 - 看診科別、掛號日期、診治醫生等。
• 醫囑事項 - 診斷記錄、用藥明細、病況摘要、治療方式等。
• 檢驗報告 - 檢查項目與報告、病理檢驗報告等。
• 護理記錄 - 住院記錄、給藥過程記錄等。

目前，大多數的醫療院所仍以紙本方式保存醫療資訊居多，而未來隨著電子病歷的推動，一旦資訊轉變成為電子化的狀態，就會具備更容易傳遞、複製、修改等電子化資料的特性，所以如何去確保資訊的安全就顯得更加重要，相信沒有一個人會願意自己的醫療資訊被任意查閱且曝光。

因此，對於醫療業者而言，保護醫療資訊安全的主要目標就是為了：

1. 保護病患醫療資訊 - 醫療資訊為重要的個人隱私，如果遭到不當洩漏，除了會影響病患的身心、名譽和權益之外，更有可能為其家屬造成傷害，因此必須加以妥善的保護。
2. 減少醫療過程疏失 - 醫療資訊的正確與完整性，涉及病患的生命安全，如果醫療資訊受到不當竄改，或是因人為疏失造成資訊錯誤，將會導致像是用藥失誤、診斷錯誤等重大醫療事件發生，所以唯有確保醫療資訊的安全，才能適供適當且正確的醫療服務。
3. 確保醫療服務持續提供 - 持續為民眾提供適當的醫療服務，是穩定國家與社會發展的重要力量，如果醫療服務因為資訊系統受到資安事件的影響而停擺，可能會引發社會大眾的恐慌，進而引發更多的社會問題，因此應由政府予以監督及協助。

醫療資訊的安全原則

就個人的觀察，針對醫療業的資安威脅來源，和多數的組織並無太多的差異，主要仍是來自於天災、人為與技術失效的事故。在天災方面，由於醫療院所負有眾多生命的安全保證，因此在火災、風災、地震方面多半已有良好的應對措施，需要加強的是人員的訓練與定期的災難演練。

至於人為事故方面，因為醫療業需要保護的資訊本身，比一般企業的資訊來得敏感，因此需要所有醫護人員都具備基本的資安意識，以保障病患的醫療隱私，所以在作業程序上，可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行，簡要說明如下：

1. 最小需求與合理範圍之最大安全原則 – 若醫療機構或醫事人員需要蒐集、使用或揭露病患的醫療資訊時，醫事人員必須盡可能地降低其範圍，也就是說，只收集必要且合理的資訊即可，並且必須盡最大努力去保護醫療資訊的安全。
2. 直接取得和不可揭露原則 – 醫療機構或醫事人員需要蒐集醫療資訊時，必須直接向病患或法定代理人詢問，避免由他人轉述病患的隱私。若未經病患的同意，也不得洩露和個人有關的醫療資訊。
3. 尊重及告知原則 – 醫療機構或醫事人員必須獲得病人或其法定代理人的同意，在自願的情形下才可蒐集、使用或揭露其醫療資訊。
4. 公平正義原則 – 病患的醫療資訊不可透過非法或不公正的方式蒐集、使用或揭露。
5. 符合法令法規原則 – 醫療機構或醫事人員對於醫療資訊的使用，必須要符合現行法令的要求，以避免觸犯法規。
6. 病患權利和公共利益保障原則 – 病患對於存放在醫療機構的個人醫療資訊享有一定之權利，醫療機構或醫事人員使用醫療資訊時，應以保障生命權和公共利益為原則。

醫療業的資安防護策略

根據過往的經驗，醫療資訊可能面臨的資安威脅，主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等，因此在基礎的防護作法方面，建議採取以下的控制措施：

• 建置安全的網路 - 部署防火牆和入侵偵測系統，內部進行網段區隔等。
• 保護醫療資訊傳輸 – 遠端醫療資訊的傳送，應透過VPN加密方式進行，若提供醫事人員無線網路的使用，也應啟動WPA加密機制等。
• 弱點管理機制 – 針對醫事人員使用之個人電腦，應透過中央控管之防毒系統，統一派送更新病毒碼，針對作業系統所發布的弱點，也應及時或定期更新，以避免讓惡意人士有入侵的可趁之機。
• 身分認證機制 – 可利用醫事人員憑證或自行建置之身分認證系統，進行醫療資訊的存取控制。
• 監督審查與事件管理 – 進行日誌(Log)集中保存，並且檢視追蹤可疑的事件。

至於整體的資安防護策略，目前已有醫療院所導入ISO 27001資訊安全管理系統，這是相當值得鼓勵的地方，顯示醫療院所的管理階層，已經體認到資訊安全對於營運的重要性。因此在管理方面，除了可藉重ISO 27001的控制要求，最重要的是醫療業者需要自行評估目前所面臨的風險為何，必須要將重點放在保護每天產生與傳遞的醫療資訊上。舉例來說，如果醫療院所還是以傳統的紙本病歷居多，那麼在病歷室的門禁管理、病歷查詢的權限控管、病歷資料的傳遞儲存與銷毀等方面，就會是資安管理的重點。

其次，則是思考如何避免因為資訊系統的故障等資安事件的發生，所導致的醫療服務與營運中斷，換句話說，對於資安事件的應變與危機處理，如果能夠及早準備並定期進行演練，將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊，對管理階層來說，其效益除了能降低營運損失，更可維護醫院聲譽。

最後，雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案，但未來必須符合資訊相關法令法規的要求(例如個人資料保護法)，將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手，透過醫療資訊標準作業流程的建立，讓醫事人員皆能體認保護醫療資訊安全的重要，相信就能為民眾帶來更完善的醫療品質，以及更讓人安心的就醫服務，也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)