智慧醫療研討會台北場 會後報導
衛生福利部資訊處處長龐一鳴表示,2017 年隨著科技部發佈 AI 推動策略,開始催生智慧醫療/健康概念,但他從這個推動策略的結構中看出矛盾,最大問題就來自「雲」。做科技的人,不會認為雲端運算系統有什麼問題,但在醫療評鑑基準有一個章節、指明病歷一定要放在醫院,顯見「醫療雲」根本尚未合法化,少了雲端,就無法發展醫療 AI。
因此,敢用雲的醫院就用,不敢用雲的醫院就退縮,因為他們擔心冒然使用雲端服務會過不了評鑑,陷入無所適從的窘態。對此龐一鳴認為,政府要挺身而出,設法讓醫療雲的問題解套。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
另一個大問題則出自於資安。龐一鳴說,2017 年 8 月時,他在英格蘭醫學期刊上看到關於網路攻擊的文章,內容指出英國政府過去鮮少投資醫療資訊系統,造成當年發生駭客攻擊事件,導致全國 1/3 信託群、603 家機構受影響,有多達 2 萬件醫院排程與手術被迫取消,5 個急診部被迫關閉。至於 Verizon 所做的 2018 年資料外洩調查報告顯示,美國有高達 24% 的資料外洩受害者為醫療機構,足見資安確實是大問題。
要追求醫療 AI 發展,一定要讓大家安全可靠地使用雲;而且不只是 AI,還有許多方面都突顯雲的重要性。台灣有上萬家私立診所,每逢健保資訊系統需要修改之時,他們往往成為阻力,因為他們認為改系統不是自己的本意,為何要付兩千元給資訊公司?主張這筆錢由健保主管機關支付;直到現在,這個爭議依然持續中。如果健保資訊系統上雲,就無需到一家家醫院或診所改程式,此紛爭可望迎刃而解。
[ 下載 2022年度CIO大調查報告 ]
「其實,現在許多醫療數據皆已雲端化,」龐一鳴說,不管是 ICU、透析機、達文西手術、呼吸機、血糖機…等等,許多醫療設備都主動將數據上傳雲端,而且都傳到了境外;試想,這些設備的原廠如果不小心搞丟了資料,最終會是誰接受處罰?依照現行醫療法,受罰的必然是醫療院所,而不會是這些國際大廠,這點若不改正,醫院怎敢把數據放出去做加值應用?關於這件事,國外的做法頗值得台灣借鏡參考,按 HIPPA 規範,誰是數據保管者、誰就得為數據丟失而負責,即使是廠商,亦須負擔與醫療院所相同之責任,且罰款非常高。
大致上來說,舉凡醫療儀器 Big data 雲端化、醫療 AI 應用、基層醫療資訊能力薄弱但分級醫療改革強度甚高,乃至於遠距醫療的實施,以及個資法的合規需求,都促使醫療資訊上雲一事顯得當務之急。
考量現行醫療資安法規架構,不論是醫療法、個資法或資安法,若要修改都可謂茲事體大、緩不濟急,因此衛福部從自身較能掌控的醫療法出發,以不動母法、在裡頭增修若干辦法的方式,讓醫療資訊上雲出現轉寰。比方說透過醫療法「第六條」的調整,使「醫療資訊代處理」得以明確化,但醫院與雲端業者之間必須訂定契約,且契約中應載明一些基本事項,受主管機關納管與監督,同時也規定資料儲存地點不能為境外。經過此一變革,已有越來越多醫院注意此事,開始思考是否讓全部或部份的資訊系統走向雲端化,而部份雲端業者也顯得躍躍欲試。
但龐一鳴提醒,儘管在合約、法規的基礎上,讓醫療上雲得以實現,連帶可望深化醫療 AI 的發展,但醫療機構仍應注意資安風險。舉例來說,今年(2022年)初某醫院的雲端資訊平台遭駭,駭客利用其帳號進行挖礦,直到該醫院收到帳單赫然發現金額不合理飆高,才知已慘遭毒手;包括帳號管理機制薄弱、未採用雙因子認證,都是釀成此次資安事件的根因。(文/明雲青)
(本文授權非營利轉載,請註明出處:CIO Taiwan)