略過巡覽連結首頁 > 產業觀察

產業觀察

醫療院所的個資保護解決方案

作者/簡順堂

[發表日期:2011/1/3]

緣起

2010年6月繼凱撒醫院( Kaiser Permanente )去年因員工洩漏八胞胎病歷而被加州醫療主管單位重罰43萬7500美元後,洛杉磯加大醫院( UCLA )也因為有員工,在流行樂天王麥可傑克森與女星法拉佛西過世後,因洩漏兩人病歷,而被罰9萬5000美元。

台灣新版『個人資料保護法(後簡稱個資法)』已於2010年4月27日立法院三讀通過,2010年5月26日經總統公布;法務部刻正徵集各方對於不確定法律概念意見,並編訂施行細則草案中,草案完成將送行政院核定,預估將在2011年11月實施。該法共計五十六條,檢視其內涵主要可從個資的生命流程來剖析,包含對個資的蒐集、處理、利用、儲存、傳輸、銷毀有諸多的規定;公務機關與非公務機關均需依其要求行事,否則將面臨可觀的罰款或刑責。

個資法其中第六條明訂:

第 六 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。
但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。


如此明確將醫療、基因、健康檢查之個人資料列為不得蒐集、處理或利用,是舊的「電腦處理個人資料保護法」內所沒有看到的。其中第二項,則給予醫療院所蒐集、處理、利用個資的法源,不過重點在於「且有適當安全維護措施」。甚麼是適當安全的維護措施?這就是本文想和大家分享的內容:


從醫療業個資外洩管道談起

醫療院所的組成大約可分成:醫生、護士、管理部門及往來的廠商等,如圖一所示,針對他們可能產生的資料風險與解決方案分述如下:



◎醫生:

  1.病歷資料匯出後,沒有保護措施:

由HIS ( Hospital Information System ) 匯出的資料可能包含病患的完整病歷與聯絡資訊甚至是家族病史,可以存成各種檔案,具有很大的資料外洩風險。因此,將HIS系統匯出存檔的資料主動加密,並讓這個資料在院內電腦可以自由閱讀,將不會妨礙醫生的診療行為,但當離開院區網路環境後,就無法被閱讀,將可以防止外洩風險。而HIS匯出的資料如果在加工處理後要匯回HIS時,則要有機制可以自動解密存入資料庫內,不需要改變任何使用習慣或程式。

  2.醫療研究文件的操作沒有記錄可供查詢:

醫療研究文件內含許多應保護的病史資料,在醫院網路上閱讀並不會有洩密問題,但是如果被下載後向外傳送就有外洩風險,應該在下載存檔時進行記錄,或是加密檔案,避免外洩風險。

  3.PACS內的 X-光片外洩問題:

PACS( Picture Archiving and Communication System )內的X-光片是圖檔,應該讓它被加密保存,並讓這圖檔在院內電腦可以自由閱讀,不會妨礙醫生的診療行為,但當離開院區網路環境後,就無法被閱讀,將可以防止外洩風險。如果有跨院要求X-光片外借狀況,亦要有管理介面可以提供離線閱讀權限,可設定運用時間屆期銷毀等手段,以防止外洩。

◎護士:

  1.被匯出、印出的病歷資料無法控管:

護士為處理病患資料必須匯出病歷資料成為檔案來做電子病歷傳送交換,或是印出病歷資料來做各種處理。因此,防護之道在於病例被匯出後就進行加密處理,並讓他在院內環境可以自由的被讀取與編輯,而當要傳送出院外時就要有適當的處理程序,讓這檔案可以被有權限的人解密送出並管制紀錄,甚至在適當的處理程序結束後應逾期銷毀等等。

至於印出的資料則應有浮水印,透過浮水印可以查到這份資料是由誰在何時印出的,在資料外洩時可以查出來源,以增加處理人員的戒心,並養成好習慣在資料作廢時銷毀。

  2.診療報告在交流過程,容易外洩:

診療報告同病歷資料的控管方式,不管是電子格式或是印出的紙本管制方式都如上面”甲”所提,進行管理。

  3.多人共用一台電腦操作,電腦文件操作記錄難以追蹤:

護士因為輪班原因可能多人共用一部電腦,其一,是雖共用電腦但是每個人有各自的帳號,如此則應該在每個人的登入環境都自動下載安裝代理程式,進行管理,則不論是否共用電腦都可以進行管理記錄。其二,是多人同帳號共用一台電腦,則在這台電腦應有檔案加密的功能,讓任何新增、匯出、下載的檔案都在存檔時加密,如此即使檔案外洩,亦不擔心資料被讀出。

◎管理部門:

  1.機密文件的存取無稽可查:

機密文件如果是紙本,應該有借閱歸檔的記錄。如果是電子檔應該有存取記錄,可供事後稽核。

  2.文件的列印無法有效控管或追蹤:

同前所述印出的文件應有浮水印,透過浮水印可以查到這份資料是由誰由哪台電腦及何時印出的,在資料外洩時可以追查出來源,以增加處理人員的戒心,並養成好習慣在資料作廢時銷毀。

  3.沒有多餘的人力進行資料的分類及管理:

沒有多餘人力可以進行資料分類及管理,則將所有產生的檔案都加密處理是最好的方式,但功能方面要注意不要讓加密變成不方便使用,茲說明如下:

  其一,要讓檔案在產生時就自動加密,在院內環境使用要如平常沒有加密時一樣,不需再手動加解密來運用;

  其二,應可以依照部們特性來分別加密,例如人事室的很多資料不應該讓大家都可以看到;

  其三、對於高階的使用者,或是針對重要的機密檔案,要有多幾把鎖的加密方式,讓這些例外的運用可以有更安全的管理方式;

  其四、對於離線資料的持續管制,資料如果必須傳送到院外去運用,則應該有一些管制措施,例如,出差人員可以申請離線運用資料的時間,如逾期應該可以很簡易的打個電話給主管,在報告出差要延長的同時要求將檔案離線運用期限延長,主管只要在電話上告知一個序號,輸入後即可自動延長。甚至可以採用Token(內含公司解密金鑰)的解決方案,出差或加班人員只要插入USB Token即可如在辦公室時一般無加解密感覺的處理文件。離線資料還包含提供給廠商的,將在下面討論。

◎往來廠商:

  1.藥商一旦取得病患資料,即可對特定症狀進行廣告及行銷:

防範藥商將病患資料做不肖運用的方式,相關作為分述如下:

  其一、就在合作契約中明訂我們醫院不同意,所提供的病患資料讓他們拿去做其他運用,如果廠商未取得病患同意就作廣告行銷,則責任應由該廠商完全負責。

  其二、是我們有稽核廠商的責任,稽核廠商的部分可以依據廠商提交的個人資料保護計畫進行定期或不定期的稽核,看他們有沒有依計畫進行。

  其三、我們要表現對病患資料仍有做到盡量防護的作為,例如:將要送給藥商的資料解密送出,但仍可設定檔案的可運用期限,屆期則檔案自動銷毀。如果將病患資料以轉印成圖檔的方式提供,則更可以加上浮水印,讓廠商在運用時更加警惕,亦更不方便大量複製整理利用。

  2.藥商會不會把病患資料賣出:

  如上述第一項的””其三”作法。


解決方案

依據上述醫療院所的資料外洩風險來分析,一般專業的建議解決方式如下:

一.讓大家都沒有感覺的加密方式:

醫療院所是和生命在拔河的地方,所有的資訊系統都應該要讓醫師護士非常方便的運用,不可以浪費任何時間。當資安產品可以透過目錄服務全自動下載配置安裝是安裝的節省工時,集中存放的檔案伺服器可以一次全部加密,而在院內網路環境下大家都可以與往常無異的執行資訊作業,則是完全不影響醫療作業的最好資料保護方式。

而且因為檔案都加密了,就不用去管制USB、DVR、IM、WebMail等洩漏資料的風險了,因為只要不跟我們的伺服器連接,他們獲得的資料是加密的無法解開,不管制這些Devices和網路溝通工具,可以讓資料與訊息的交換溝通更順暢快速。

二.支援HIS、PACS系統匯出加密及各種應用程式產生的檔案加密:

可對HIS、PACS系統匯出的文件加密,並於匯入HIS、PACS時自動加密。並可支援各種應用程式,可對所有產生的檔案加密,如此可將院內環境的所有檔案都在同一種保護的狀況下,而且大家的作業如往常未加密時一樣。

三.離線使用的方便性和管制性:

不論是要加班、出差或是要提供給藥商資料,當檔案必須離開醫療院所到其他的地方工作時要怎麼辦。個人覺得採用信任人性的方式,信任我們醫療院所的所有同仁,只要有要加班或出差就給予一個的解密的USB Token,插在電腦上就可以如同在院內上班一樣,沒有加解密的感覺。只是一樣會記錄使用者的行為,例如把檔案解密就會被記錄下來,當回到院內連回伺服器,這些紀錄就會自動送到伺服器統整。沒有USB Token時一樣可以透過簡易的申請設定,讓檔案可以離線運用。

若要提供給其他醫療單位或藥商,則可以選擇將檔案解密後設定其有效期限(超過將自動消失),或是設定檔案開啟與列印的次數(超過將無法開啟),避免資料被無限制的擴散運用。若是存為列印後的圖檔,則應有浮水印可以追查來源,可防止資料被大量複製與任意傳播。甚至可以對資料檔案指定可開啟的電腦(事先設定),讓資料被拿到別的電腦就無法開啟。

四.伺服器端應有的功能:

若伺服器故障,則所有檔案將無法解密,除了有額外備援的伺服器外,如果只有一台伺服器,在政策訂定時,應設定用戶端離線後可正常運作時間,安裝新的伺服器約需要15分鐘,加上若是硬體故障所需準備的時間,建議用戶端離線漫遊可以設定為一或二個小時,則可以在伺服器中斷後,Client端仍可正常運作加解密,當然這時候所有的加解密作業仍會被記錄下來,當伺服器連線後自動傳送到伺服器的管理員日誌以作為日後的數位證據。

當然管理員日誌可以選擇蒐集記錄Client端的作業日誌,也可以選擇不要記錄。管理員亦可以階層式配置,以符合組織原有的編組管理體系,如果單位內AD的架構完整可以一次匯入,節省建置的時間。

五.防火牆與防毒軟體仍是安全所需:

上述對於資料的保護行為之外,建議醫療院所仍應注意防火牆的設定,避免被外部攻擊癱瘓網路,防毒牆或是個人電腦的防毒軟體亦應啟動,並隨時更新最新的病毒碼與掃毒引擎,以防護電腦與資料不被病毒破壞。

六.個資法的其他議題:

另外醫療院所在個資法通過前所蒐集的病患個資,係屬類契約行為,應不需再作補告知行為,但依據新個資法必須有讓當事人查詢、修正、請求製作副本、請求刪除等介面,建議應於網站中設計這樣的網頁,其中如果要求製作副本是可以要求收取適當費用的(醫事公會應有明訂標準)。
新法通過後要讓新病患填寫掛號個人資料時,應該要在病患填寫的表格上設計符合個資法的說明,例如要告知蒐集目的、可查詢及修訂的網頁位址、利用期間、利用地區等資料,以取得書面同意,符合新個資法的要求。


結語

個資法的實施雖仍有近一年的前置期,但各醫療院所不應在這段時間採取觀望的態度,IT和負責個資管控的主管必須選擇合適的個資保護和監控工具,先期進行建構與導入測試,以避免一旦正式實施時手忙腳亂。而且一旦面臨賠償責任,依規定需要證明「無故意或過失責任」才能免責,因此做好個資保護作為其實是免責的一項重要作為。

最後個人覺得大家都在說以客為尊,其實做好保護病患的個人資料就是醫院以客為尊的一項很好的作為,不管有沒有個資法我們都應該要執行的,您說是嗎?

 

回上層