觀點

取法HIPAA 落實醫療資安防護

2003 / 12 / 11
取法HIPAA 落實醫療資安防護

文/鄭美雅


HIPAA(Health Insurance Portability and Accountability,聯邦健康保險法案,又稱健康保險可攜性和責任法案),是美國於2000年頒布,規範醫療資訊應用及病患隱私權的法案。所有醫療體系中的機構,包括保險業者、醫療提供者、雇主、健康計畫機構等等都必須遵守相關規範,影響層面既深且廣。該法案是專門針對電子化的醫療資訊而訂定,對於醫療資訊的應用、交換機制及保護規範的非常詳盡,已經成為世界各國訂定相關法規參考的重要標準。


美國制定HIPAA法案的目的,起初是為了要統一醫療保險業者(HMO,Health Maintenance Organization )與醫院間的文件格式。目前在台灣,健保局是最大的保險公司,不產生文件相異的問題,但在美國,各地區不同的HMO、醫療院所間的溝通相當複雜,必須統一制定電子醫療資料交換的國家標準。起初的立意雖然簡單,最後卻發展出一套統整醫療資訊應用的龐大架構,規範的方向包括五大類:「醫療保險的可近、便易與延續性」、「管理單一化」、「稅率減免」、「強制團體納入醫療計畫」及「收入補償法規」。


HIPAA的五大規範中,四大項是關於政策面的制定,其中對於電子醫療資訊應用的規範主要在於「管理單一化」的部分。管理單一化牽涉了三個議題,包括電子資料交換(EDI)、資訊安全(Security)、隱私權(Privacy),這三項規範與台灣現今發展醫療院所e化、電子病歷交換所牽涉到的議題息息相關。以下概述HIPAA的相關規定及立法精神,並由此檢視台灣未來醫療法規應走的方向。
一、電子資料交換(EDI)
EDI分為幾個部分:交易部分(Transaction)、編碼組(Code Set)、規範客體(Identifier)、電子簽章(Electronic Signatures)。要讓各醫院電子醫療資訊能夠互通,就必須有相關的資通訊協定。其中最重要的幾個協定包括HL7(臨床、保險、行政管理、檢驗等電子資料)、DICOM(醫學影像傳輸相關資訊協定)、PACS(醫學影像儲存傳輸系統)、X12N(保險標準)、ASTM(相關醫療儀器標準)、NCTPT(藥品相關標準)等。


EDI的規範,正是台灣推動跨院電子病歷互通的重要配套。事實上,台灣早已引進相關通訊協定,如HL7、DICOM、PACS等,只是礙於目前政府對電子病歷互通沒有強制規範,醫院也沒有誘因推動,整個執行的進程相對緩慢。


二、資訊安全(Security)
在資訊安全的部分,HIPAA的規範包含了實體、電腦系統、行政管理等等層面。相關規範包含內部稽核、資料的存取與控制、安全結構(軟硬體之安裝、維護與安全性測試)、安全管理程序等等。在實體層面則有實體使用控制、實體確認等等。


檢視HIPAA在資訊安全的相關規定,與資安標準BS7799其實相差不遠。台灣大部分醫療院所對於引入如BS7799的資安規範相當遲疑,原因不外乎預算、人力、流程繁複等等題。然而在邁向醫療電子化的過程,若不能從醫療院所內部開始切實保障資訊安全,無異將民眾的機密資料暴露於危險當中。

三、隱私權(Privacy)
隱私權是電子醫療資訊交換、應用最受大眾關注的焦點。HIPAA在相關的隱私權規定規範得非常詳盡,法案中有一個重要的精神:「病歷資料屬於個人所有」。


在台灣,大家已經習慣病歷屬於醫院所有,個人只有調閱權。客觀而論,病歷雖然屬於個人的隱私資料,但醫師也可主張自己是病歷的產出者,擁有智慧財,而公部門如學術單位、警察機關等等基於公眾利益,也會主張病歷使用權。如何兼顧公眾利益與個人隱私?HIPAA的六項規範「一般規定」、「個人授權的使用與揭露」、「未經個人授權同意的使用與揭露」、「個人權利」、「管理需求」及「政策與程序之發展與文件化」,就是要在個人隱私權與公眾利益中尋求平衡。


六項規範中的前三項,主要精神都是在機構揭露可識別個人身份的醫療資訊前,必須獲得個人的授權,除了公共醫療活動、醫療疏忽行為、緊急情況等等特殊情況。法案並且對獲得授權的程序有嚴謹的規範,必須是擁有以文字化方式明文授權的標準授權程序,當然,一般基於申報付款、醫療營運等資料不在限制之列。


「管理需求」與「政策與程序之發展與文件化」是對機構確實執行隱私權保護所作的配套規範。機構必須確立一正式隱私權機制,機構執行人員必須接受每三年至少一次的相關訓練。種種的規範都在確保醫療體系中的執行者有清楚的「隱私權保護」的觀念,並且確實執行。而違反規定的罰責也相當重,最高為25萬美元的罰款及最長10年的監禁。


不可否認,HIPAA對美國的醫療體系造成相當大的衝擊。去年十月是HIPAA實行的最後期限,但是大部分的醫療院所還是做不到,紛紛要求一年的緩衝期。歸咎的原因有幾個;經費不足、電腦系統導入困難、行政流程改變困難等等,而其中預算不足的問題最為嚴重。未來,台灣勢必也將面臨相同的困境,尤其在中小型醫院、地區診所,預算拮据,對資訊設備的投資不足,是否能切實做到資訊安全(Security),將會是一大挑戰。


此外,HIPAA對於隱私權的規範在台灣是否能完全適用也是一大問題。台灣現行對個人隱私權的保護散見於不同法令,包括電腦處理個人資料保護法、刑法、醫師法、醫療法及護理人員法等等,但由於醫療行為有其特殊性,這些法規很難適切保護病患的資訊安全。以個資法第四條第1款為例,「個人資料之本人就其個人資料,得行使請求刪除權,此項規定並不得預先拋棄或以特約限制之」。其立法原意雖佳,但用在醫療行為上就會產生問題。因為醫師為提供適切之醫療服務,勢必要參考病患之並使及診療紀錄,在此就會產生法規適用性的爭議。未來是否應該參考HIPAA的做法,制定一個專門、集中的法令,針對醫療資訊的應用及保護作規範,就需要相關單位的仔細評估。


特別感謝HL7協會常務理事顏志展先生提供相關的寶貴意見。