信息安全成智能医疗推动关键

由于敏感的个人数据都可以在病历里找到，因此相较于其他个资，被窃取、泄漏、窜改的风险更大，落实信息安全管理也成了医疗院所努力的目标。法新社

为了有效推动智能医疗，许多病患的医疗信息必须电子化，并透过各种资通讯科技传递，其间所衍生的信息安全问题，也格外受到瞩目。台大医院副院长王明钜指出，目前不管是医疗法或个人数据保护法，针对医院及所管理的敏感性数据，包括病历、医疗、基因、性生活、健康检查等信息，都有严格的规范规定，罚则也相当严厉，如个资法甚至规定，医疗院所代表人，也就是院长，若不能证明已尽防止义务，一旦发生个资被不当使用的事件，也会一并受罚。

个资都在病历中　泄漏的风险特别高

由于敏感性个资，都可在病历里找到，因此相较于其他个人数据，被窃取、泄漏、窜改的风险更大。王明钜指出，医疗院所应采行适当之安全措施，尤其是指定专人办理安全维护事项，防止个人数据被窃取、窜改，泄漏外，一旦发生个资被不当使用，医疗院所也应在查明后，通知当事人，避免伤害进一步扩大。

而在云端运算及智能医疗服务的时代，电子病历、整合医疗及健康管理的趋势也更加明显，病历数据的取得及复制，也变得更加容易，虽然可以因此提升服务效率，但也必须采取额外的步骤来确保敏感的病患信息及宝贵研究数据的安全。

如在某些情况下，迅速存取信息的能力，可能关系到病患的生死，因此这些纪录更必须拥有有力而强固的安全技术为后盾，才能够在验证使用者后，授予存取权限，或是拒绝无权存取特定数据的请求同时，还必须做到无处不在而且容易使用。如何在确保信息安全的前提下，还能让医疗保健专业人员适时地存取机密的病患信息，也成为能否提供最高品质健康照护的关键。

网络无远弗届　维护病患隐私挑战大

而透过VPN等通讯技术，不同医院、甚至在地球两端的医疗专业人员，已可共享病患的病历及图表来进行医疗合作。但如今的网络、线上存取、及网站技术，是否能够同时维护病患隐私，也为医疗院所或是网安技术供应商，带来了新的挑战。

如有些医院目前已可透过信息系统，允许药厂自动满足库存需求；可以透过在线报价竞标的电子采购系统，让采购程序更为流畅，所节省的经费及效率的提升效果虽然可能非常庞大，但若没有正确安全防护，则可能会出现更严重的问题。

SafeNet指出，为了防止医疗信息被不当使用，医疗院所必须加强数码身份识别技术，只有获得授权的厂商才能透过数码身份存取后台系统并开立发票，如用具有USB接头的口令锁设计，来进行使用者认证及作为私人密钥之用。

在实际的作业过程中，Windows会识别口令锁是否插入USB连接埠，并提示使用者输入可于口令锁上存取的公共？私人密钥数据的PIN口令，由于PKI验证已存储在口令锁中，使用者可以在网络上的任何1台工作站漫游，为系统及使用者提供极大的弹性。

导入网安管理机制　平时打好基础

此外，网安管理机制的导入，更是不容忽视，如ISO 27000系列就是国际认可的信息安全管理标准，其中在2005年通过的ISO 27001标准，涵盖范围包括信息安全管理、信息安全政策、网安组织、信息资产管理、人力资源安全、实体与环境安全、通讯与作业管理、存取控制、信息系统获取开发及维护、信息安全事故与业务持续等作业等，值得医疗院所IT部门加以重视。

目前ISO 27001网安管理标准，已开始从公部门逐步推广到许多涉及个人隐私的领域，但台湾IBM公司工商事业群总经理刘镜清也表示，信息安全管理非一蹴可及，平时打好基础才能因应环境变化，持续改善符合信息安全的架构与管理模式。

推动电子病历是打造台湾智能医疗服务中非常重要的环节，利用信息科技，提升病历数据存取的实时性以及安全性，让医护流程更有效率；增加医疗环境的竞争力，创造更健康的人群与社群，也是各医院现阶段推行的重点，但唯有导入适当的信息安全技术，落实信息安全管理，国内医疗产业才能彻底转型，开启智能医疗新时代。