醫療法修正 有助加速醫療上雲
現行醫療資安法規架構涵蓋醫療法、個資法、資安法,衛福部選擇醫療法出發,以不動母法、增修相關條文的方式,加速推動台灣醫療產業的醫療資訊上雲,以打通醫療 AI 任督二脈。
文/林裕洋
具備隨取即用、依照使用量付費的雲端服務,早已成為各產業不可或缺的重要服務,除可降低打造資料中心的成本之外,也能免去資訊人員的維運負擔,並且在第一時間回應市場需求。根據 CIO IT 經理人的 IT 大調查顯示,在兼顧資安、公司營運發展的前提下,混合雲幾乎成為多數企業的首選架構。
台灣醫療產業在相關法規要求下,對於引進創新技術向來較為保守,不過 2017 年隨著科技部發佈 AI 推動策略,也開始催生台灣發展智慧醫療/健康概念。科技部挹注 50 億元資金推動 AI 創新研究中心的計畫,分別在臺大、清大、交大(目前改名為陽明交大)、成大等四所大學,成立四大 AI 創新中心,其中臺大負責生醫技術醫療和 AI 的核心技術,鄰近新竹科學園區的清大則是專注在智慧製造,陽明交大亦主要聚焦於智慧服務。至於位於南部的成大,同樣是負責生技醫療方面的研究。
衛生福利部資訊處處長龐一鳴表示,雲端服務發展多年,科技人早已習慣雲端運算系統的各種應用模式,尤其若要發展 AI 專案,更是必須仰賴雲端服務的協助。但是對醫院來說,雖然深知雲端服務的各項好處,但對引進公有雲服務卻往往心存排斥。箇中關鍵,在於現行醫療評鑑基準中,指明電子病歷一定要放在醫院,也證明醫療雲根本尚未合法化,在沒有雲端服務的幫助下,就無法發展醫療 AI。因此,目前現有部分醫院願意嘗試使用雲端服務,且已經有相當不錯成效出現,部分醫院則因沒有辦法規避法規問題,自然對相關服務退避三尺。因為,醫院擔心若冒然使用雲端服務,恐怕會過不了醫院評鑑,對於醫院發展將會帶來極大衝擊陷入無所適從的窘態。
衛福部推動醫療機構電子病歷製作多年,為持續推動醫療資訊無紙化(或稱電子化),同時兼顧現行法規或實務上所遭遇之困難,例如依法令規定應以書面簽具,且應併同病歷保存之同意書、其他法規規定之文件及醫療機構電子病歷實施前既有之紙本病歷,得以電子文件方式製作與儲存之處理規定,並增訂因應資訊化時代需求之相關規定,提出「醫療機構電子病歷製作及管理辦法」修正草案。
醫療機構電子病歷製作及管理辦法修正草案有兩大方向,首先是允許醫療機構委外建置電子病歷系統,並能使用公雲服務管理電子病歷資料。其次,是為達無紙化目標,允許醫療機構依電子簽章規定,將院內原有書面文件如紙本病歷、同意書等電子化。此草案已於 2021 年 12 月 8 日公告,並於 2022 年 2 月 7 日終止預告。
WannaCry 席捲全球 英國取消兩萬件手術
過去醫療院所都是使用封閉網路,然而隨著引進各種創新科技之後,卻沒有同步提升整體資安防護能量,加上擁有大量的民眾就醫紀錄,所以過去幾年早已成為駭客鎖定攻擊對象。根據 2017 年 8 月英格蘭醫學期刊上公布的於網路攻擊文章,由於英國政府過去鮮少投資醫療資訊系統,以至於 2017 年發生 Wannacry 勒索病毒攻擊事件時,導致全國 1/3 信託群、603 家機構受影響,有多達 2 萬件醫院排程與手術被迫取消,5 個急診部被迫關閉。
事實上,WannaCry 是首隻針對 Windows 漏洞設計、且是以比特幣支付贖金的勒索病毒,若用戶端電腦沒有安裝最新版本的修補程式,就可能遭到此惡意程式攻擊,導致用戶檔案被鎖。根據歐洲警政署(Europol)調查報告顯示,這波網路攻擊已經波及 150 國家以上,台灣亦發生醫療院所遭到入侵的案例。
[ 2022年度CIO大調查報告下載 ]
龐一鳴說,隨著醫療院所成為駭客鎖定目標,世界各地也不斷發生病患個資遭竊的事件。根據 2018 年 Verizon 公布的資料外洩調查報告指出,在美國爆發的資料外洩事件中,有高達 24% 資料外洩受害者為醫療機構,足見資安確實是大問題。若進一步分析遭受攻擊的手法,分別為 Error、Malware、Hacking、Misuse、Social、Physical 等。
創造多元應用 上雲趨勢底定
在迎合國際趨勢、為病患創造更佳照護服務的前提下,台灣自然也要發展醫療 AI,然而前提是讓大家安全可靠地使用雲。不光是醫療 AI,還有許多方面都能凸顯雲的重要性,如台灣有超過上萬家私立診所,每逢健保資訊系統需要修改之時,多數都不願意配合,關鍵在於這是被動配合健保修正系統,而非自己想要修改系統,因此不願意支付系統修改費給資訊公司,主張這筆錢應由健保機關來支付。儘管每次修改費用不多,但是長期下來仍然是一筆可觀的費用,因此截至目前為止,相關爭議依然持續中。因此,若健保資訊系統能夠搬上雲端,資訊系統業者就無須一家家醫院或診所去改程式,自然成本就低。
龐一鳴說,不管是 ICU、透析機、達文西手術、呼吸機、血糖機等,許多醫療設備都主動將數據上傳雲端,而有可能都傳到境外的雲端機房。試想一下,若原廠設備業者不小心將資料遺失,最終依照現行醫療法,必然是醫療院所受到處罰,而非生產醫療設備的國際大廠。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
換句話說,在現行法規之下,應該沒有醫院敢把資料放在院外,以便進一步推動加值應用,如此便阻礙了台灣推動智慧醫療的步驟。若要解決此問題,不妨可參考國外的做法,按 HIPPA 的相關規範,當醫療資料發生外洩時,資料保管者得負起相關責任,即便是醫療設備製造商,亦須負擔與醫療院所相同之責任,且相關罰款非常高。
推動醫療資安 三段五級策略
在 COVID-19 疫情蔓延下,多數民眾都對公共衛生與預防醫學的三段五級策略非常熟悉。所謂三段是無症狀/易感染、臨床病症、殘障/死亡,至於五級策略則是促進健康、特殊防護、早期診斷早期治療、限制殘障/減少死亡、復建等。此種分級制度,主要是要避免醫療系統癱瘓,同時預防重症病患死亡,讓所有患者都能獲得合適的醫療照護。
「事實上,醫療資安策略也可依照前述的三段五級策略執行,所謂三段是無症狀/被刺探、出現弱點/資安事件、資料遺失/橫向擴散/系統癱瘓。」龐一鳴解釋:「至於五級策略則是健全體質/情資收集、弱點掃描/特殊防護、資安健檢/監控機制/即時修補/、通報應變機制、復原鑑定。如此一來,自然能夠預防重大資安事件發生,在保護病患醫療隱私之外,也能兼顧醫院運作與商譽」
鑑於 2017 年台灣醫院遭到 WannaCry 勒索病毒攻擊,衛福部決定推動醫療資安政策,透過五大面向進行推動,首要工作從強化聯防機制著手。簡單來說,是透過情資分享(ISAC)、緊急應變處理(CERT)和聯合監控(SOC)等機制,讓醫院在遭受資安威脅事件時,可透過醫療資安分享與分析平臺(H-ISAC)通報資安事件。資安團隊會透過風險評估輔助系統、情資及弱點資料庫等分析,再回饋給醫院。
在衛福部強烈要求下,目前已經有 57 家被列為關鍵基礎設施(Critical Infrastructure,簡稱 CI)醫院已加入 H-ISAC。為了提供更多元的情資分享內容,衛福部除鼓勵更多 CI 以及非 CI 醫院成為醫院會員外,也鼓勵更多醫院資服業者成為廠商會員。除此之外,衛福部亦推動資安通報機制,目前加入情資交換的醫院有 200 多家,所以才能在 2019 年 WannaCry 勒索病毒再度襲擊台灣時,能夠在第一時間掌握有 38 家醫院遭到入侵。
規範責任歸屬 降低醫院風險
隨著醫療儀器 Big data 雲端化、醫療 AI 應用,乃至於遠距醫療的實施,以及個資法的合規需求等,都讓醫療資訊上雲顯得格外重要,現行基層醫療資訊能力薄弱的問題,卻讓推動分級醫療改革的難度增加。現行醫療資安法規架構涵蓋醫療法、個資法、資安法等三大面向,其中個資法、資安法等主管機關並非衛福部,所以要推動修改的難度慎高,且茲事體大、緩不濟急。相較之下,衛福部選擇醫療法出發,以不動母法、增修相關條文的方式,加速推動醫療資訊上雲,以便能夠符合現行實際狀況。
以電子病歷辦法新增的第六條為例,即是基於資通系統及資訊安全之專業性,建置電子病歷資訊系統得委託專業機構辦理,惟該機構應具一定品質,爰應考量受託者之專業能力與經驗、委託項目之性質及資通安全需求,選任適當之受託機構,以確保電子病歷系統安全。為讓醫療機構挑選適當之專業機構,且目前國內有能力設置、管理電子病歷資訊系統之專業機構家數並不多(約十家以下),未來得由衛福部辦理認證,並增列受託機構應具備之條件,以確認一定品質。
龐一鳴認為,這項新增的醫療法規,讓喧擾多時的醫療資訊代處理得以明確化。然醫院與雲端業者之間必須訂定契約,且契約中應載明一些基本事項,受主管機關納管與監督,同時也規定資料儲存地點不能為境外。
做好資安基本功 減少資安事件發生
為加速醫療上雲,在電子病歷辦法新增的第八條中,也明定醫療機構就系統資料之蒐集、處理與利用及資料庫之使用,涉及雲端服務時的遵循事項。分別是「採取適當風險管控措施」、「採取避免醫療業務中斷措施」、「對雲端服務業者進行監督,並得視需要,委託受託機構或其他專業機構協助監督」、「停止或終止雲端服務時,資料移轉回委託機構或其他雲端服務業者之機制」。
龐一鳴指出,隨著醫療法規的變革,已經吸引越來越多醫院開始思考,是否讓全部或部份的資訊系統走向雲端化,而部份雲端業者也顯得躍躍欲試。儘管在合約、法規的基礎上,讓醫療上雲得以實現,連帶可望深化醫療 AI 的發展,但醫療機構仍應注意資安風險。
以 2022 年初某醫院的雲端資訊平台遭駭,直到該醫院收到帳單赫然發現金額不合理飆高,進一步分析之後,才知道雲平台被駭客用來進行挖礦。各種癥結在於帳號管理機制薄弱、未採用雙因子認證等,因此醫療上雲最重要的基礎資安工作,依然是資安人員不能忽略的基本功。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
