取法HIPAA　落實醫療資安防護

文／鄭美雅


HIPAA(Health Insurance Portability and Accountability，聯邦健康保險法案，又稱健康保險可攜性和責任法案)，是美國於2000年頒布，規範醫療資訊應用及病患隱私權的法案。所有醫療體系中的機構，包括保險業者、醫療提供者、雇主、健康計畫機構等等都必須遵守相關規範，影響層面既深且廣。該法案是專門針對電子化的醫療資訊而訂定，對於醫療資訊的應用、交換機制及保護規範的非常詳盡，已經成為世界各國訂定相關法規參考的重要標準。


美國制定HIPAA法案的目的，起初是為了要統一醫療保險業者(HMO，Health Maintenance Organization )與醫院間的文件格式。目前在台灣，健保局是最大的保險公司，不產生文件相異的問題，但在美國，各地區不同的HMO、醫療院所間的溝通相當複雜，必須統一制定電子醫療資料交換的國家標準。起初的立意雖然簡單，最後卻發展出一套統整醫療資訊應用的龐大架構，規範的方向包括五大類：「醫療保險的可近、便易與延續性」、「管理單一化」、「稅率減免」、「強制團體納入醫療計畫」及「收入補償法規」。


HIPAA的五大規範中，四大項是關於政策面的制定，其中對於電子醫療資訊應用的規範主要在於「管理單一化」的部分。管理單一化牽涉了三個議題，包括電子資料交換（EDI）、資訊安全（Security）、隱私權（Privacy），這三項規範與台灣現今發展醫療院所e化、電子病歷交換所牽涉到的議題息息相關。以下概述HIPAA的相關規定及立法精神，並由此檢視台灣未來醫療法規應走的方向。
一、電子資料交換(EDI)
EDI分為幾個部分：交易部分（Transaction）、編碼組（Code Set）、規範客體（Identifier）、電子簽章（Electronic Signatures）。要讓各醫院電子醫療資訊能夠互通，就必須有相關的資通訊協定。其中最重要的幾個協定包括HL7（臨床、保險、行政管理、檢驗等電子資料）、DICOM（醫學影像傳輸相關資訊協定）、PACS（醫學影像儲存傳輸系統）、X12N（保險標準）、ASTM（相關醫療儀器標準）、NCTPT（藥品相關標準）等。


EDI的規範，正是台灣推動跨院電子病歷互通的重要配套。事實上，台灣早已引進相關通訊協定，如HL7、DICOM、PACS等，只是礙於目前政府對電子病歷互通沒有強制規範，醫院也沒有誘因推動，整個執行的進程相對緩慢。


二、資訊安全(Security)
在資訊安全的部分，HIPAA的規範包含了實體、電腦系統、行政管理等等層面。相關規範包含內部稽核、資料的存取與控制、安全結構（軟硬體之安裝、維護與安全性測試）、安全管理程序等等。在實體層面則有實體使用控制、實體確認等等。


檢視HIPAA在資訊安全的相關規定，與資安標準BS7799其實相差不遠。台灣大部分醫療院所對於引入如BS7799的資安規範相當遲疑，原因不外乎預算、人力、流程繁複等等題。然而在邁向醫療電子化的過程，若不能從醫療院所內部開始切實保障資訊安全，無異將民眾的機密資料暴露於危險當中。

三、隱私權(Privacy)
隱私權是電子醫療資訊交換、應用最受大眾關注的焦點。HIPAA在相關的隱私權規定規範得非常詳盡，法案中有一個重要的精神：「病歷資料屬於個人所有」。


在台灣，大家已經習慣病歷屬於醫院所有，個人只有調閱權。客觀而論，病歷雖然屬於個人的隱私資料，但醫師也可主張自己是病歷的產出者，擁有智慧財，而公部門如學術單位、警察機關等等基於公眾利益，也會主張病歷使用權。如何兼顧公眾利益與個人隱私？HIPAA的六項規範「一般規定」、「個人授權的使用與揭露」、「未經個人授權同意的使用與揭露」、「個人權利」、「管理需求」及「政策與程序之發展與文件化」，就是要在個人隱私權與公眾利益中尋求平衡。


六項規範中的前三項，主要精神都是在機構揭露可識別個人身份的醫療資訊前，必須獲得個人的授權，除了公共醫療活動、醫療疏忽行為、緊急情況等等特殊情況。法案並且對獲得授權的程序有嚴謹的規範，必須是擁有以文字化方式明文授權的標準授權程序，當然，一般基於申報付款、醫療營運等資料不在限制之列。


「管理需求」與「政策與程序之發展與文件化」是對機構確實執行隱私權保護所作的配套規範。機構必須確立一正式隱私權機制，機構執行人員必須接受每三年至少一次的相關訓練。種種的規範都在確保醫療體系中的執行者有清楚的「隱私權保護」的觀念，並且確實執行。而違反規定的罰責也相當重，最高為25萬美元的罰款及最長10年的監禁。


不可否認，HIPAA對美國的醫療體系造成相當大的衝擊。去年十月是HIPAA實行的最後期限，但是大部分的醫療院所還是做不到，紛紛要求一年的緩衝期。歸咎的原因有幾個；經費不足、電腦系統導入困難、行政流程改變困難等等，而其中預算不足的問題最為嚴重。未來，台灣勢必也將面臨相同的困境，尤其在中小型醫院、地區診所，預算拮据，對資訊設備的投資不足，是否能切實做到資訊安全(Security)，將會是一大挑戰。


此外，HIPAA對於隱私權的規範在台灣是否能完全適用也是一大問題。台灣現行對個人隱私權的保護散見於不同法令，包括電腦處理個人資料保護法、刑法、醫師法、醫療法及護理人員法等等，但由於醫療行為有其特殊性，這些法規很難適切保護病患的資訊安全。以個資法第四條第1款為例，「個人資料之本人就其個人資料，得行使請求刪除權，此項規定並不得預先拋棄或以特約限制之」。其立法原意雖佳，但用在醫療行為上就會產生問題。因為醫師為提供適切之醫療服務，勢必要參考病患之並使及診療紀錄，在此就會產生法規適用性的爭議。未來是否應該參考HIPAA的做法，制定一個專門、集中的法令，針對醫療資訊的應用及保護作規範，就需要相關單位的仔細評估。


特別感謝HL7協會常務理事顏志展先生提供相關的寶貴意見。