醫療資訊安全　有請PKI

文 / 羅志宏


今年底衛生署將陸續發放全國醫師、護理人員與醫療院所等之醫療憑證。配合明年全國健保IC卡之全面使用，未來醫生若要讀取病人健保IC卡內的醫病資訊，將透過醫師卡憑證之認證後方能進行存取，並對病人的電子病歷進行電子簽章，而所有的轉診轉檢資訊亦將透過醫療院所之憑證進行電子簽章。
KI在醫療資訊安全的角色
衛生署透過「醫療憑證管理中心」來發放醫療用途數位憑證，即是利用PKI的技術來確保各項醫療資訊的完整性、機密性、認證性與不可否認性，未來全國醫療人員將擁有屬於個人的醫療憑證，而該憑證現階段除了認證醫師身份外，亦將作為電子病歷的簽章使用。美國聯邦政府於 1996 年通過 HIPAA 法案(Health Insurance Portability and Accountability Act)，該法案明定了醫療資訊系統應有的安全機制，主要規範於安全與電子簽章標準中。其中包括五大範疇：


* 針對資料的防護性、完整性、機密性與可用性所採行的管理流程

* 針對資料的防護性、完整性、機密性與可用性所採行的實體安全防護

* 針對資料的防護性、完整性、機密性與可用性所採行的技術安全服務

* 防護通訊網路中未經授權存取的資料傳輸，所採行的技術安全機制

* 電子簽章



醫院內部醫療資訊系統與UCA之整合應用
醫療資訊安全與PKI之應用整合，除採行現階段衛生署所發放醫療憑證外，各醫療院所若要整合內部眾多醫療資訊系統與行政系統，則須另行建置醫院內部憑證管理中心，醫院要如何評估是否建置內部UCA(User CA)，以及如何透過UCA的建置整合醫療資訊安全呢？


醫院自建內部UCA具有下列之優點考量：

(1) 醫院可彈性自訂內部憑證政策，所有的憑證政策可依據醫院的實際需求與規劃，訂定不同的憑證發放政策與發放對象，說明如下：


* 憑證有效期限可自行定義

* 金鑰用途可彈性選擇

* 可自行定義不同用途的憑證發放，例如：使用者憑證、伺服器憑證、加密用VPN憑證、Windows系統登入憑證，甚至未來的WAP憑證等。

* 可依醫院政策發放員工憑證、上下游廠商憑證、配合之其它醫療院所憑證、配合之藥商憑證、甚至醫師護理人員憑證等均可自行發放。

* 不同的憑證政策可授權不同的註冊人員進行憑證發放，便於人員安全管理。

* 憑證政策可依本身實際需求，隨時修正、定義與發佈。



(2) 隨時掌握最新的憑證廢止清冊(CRL，黑名單)，所有憑證廢止可於線上直接廢止，並於第一時間內發佈至目錄伺服器中，所有的醫療資訊系統(電子病歷簽章、系統授權管理與整合憑證之醫療系統)對於憑證認證可即時驗證，不需再透過網路下載CRL，也可即時掌握目錄伺服器之最新資訊，避免產生憑證驗證的空窗期。


(3) 自建UCA對於醫院未來憑證醫療應用將更具可用度，因應未來醫院管理若要符合HIPAA之精神，導入PKI之解決方案，將內部相關資訊應用系統整合憑證處理，包括醫院員工、醫師護理人員、醫療上下游廠商、與各類配合之個體，均應整合於憑證應用機制內，說明如下：


* 員工未來使用醫院系統時，均應透過數位憑證身份認證來取得醫療資訊系統的授權，避免駭客以偽冒身份進入存取，並對所做行為產生不可否認。

* 醫師護理除可利用數位憑證授權進入系統外，尚須對所登入之醫療資訊(病歷)進行數位簽章，並將該份簽體存入院內之電子簽章伺服器內。

* 上下游廠商可透過院內發給的數位憑證與醫院進行B2B交易，並可上網認證後查看所有醫療購置資訊與流程。

* 醫院未來也可考慮發放病人憑證，對於未來個人病歷資訊或醫療處方籤查詢，未來除現行醫師可透過醫師憑證及病人的健保IC卡來查看病人電子病歷資訊外，也可考量發放病人憑證，讓病人透過醫院的醫療入口網站，經身份認證後查詢個人的電子病歷查詢，而每位病人均有個人的Portal醫療資訊內容，只要在家中便可上網認證查看或出國旅遊生病時，國外醫生藉病人憑證登入該醫院的個人醫療入口網站，亦可即時連線查詢得知該病人的病史或用藥狀況。

* 未來醫院若有配合之藥商(藥局)，亦可發放藥局憑證，即可進行所謂的醫藥分離作業，病人只要持個人憑證至藥局進行連線，藥局透過醫院的醫療入口網站，便可獲取病人的該次處方籤，配藥完成後對該處方籤再進行電子簽章，以確認該藥局曾經開過該病人之藥，以達不可否認性。



(4) 醫院自建UCA對於未來應用發展空間將較廣泛，不必受限於連線驗證所造成的網路延遲，也不會有憑證驗證之空窗期，所有醫療資訊系統的身份認證只須連線醫院內部OCSP或檢查CRL即可完成。另外，最重要的一點即是醫院可依據本身需求去設計屬於醫院內的PKI架構。


(5) 自建UCA未來亦可與衛生署HCA所發醫師憑證相互整合，即醫師憑證還是使用HCA所發醫師卡，其它憑證由醫院內部UCA發放，兩者整合後統一授權管理，唯系統認證將採取雙模式，醫師憑證可連線HCA認證，院內憑證則連線醫院內部OCSP認證，兩者憑證資訊均匯入醫院內的目錄伺服器中統一授權管理。


(6) 健保局未來所發讀卡機將可讀HCA的醫師卡，經整合後醫師可透過該讀卡機與該醫師憑證進行醫療資訊系統之授權使用，與醫院內部所建UCA並不產生衝突，但須注意的是醫師憑證因為是HCA所發，因此驗證時須連線HCA或定時下載CRL。


相對地，醫院自建內部UCA亦具有下列之配合點考量：



(1) 醫院內部自建UCA的成本花費會較高，以及每年固定維護費用與稽核費用。


(2) 依據衛生署規定UCA須產生PKCS#10憑證申請檔，至醫療最高憑證管理中心(HRCA)申請CA憑證。


(3) UCA的CPS須送經濟部商業司審核。


(4) 憑證政策之保證等級，應建立相關的軟硬體設備與作業程序，因此須相對付出額外成本與人員的負擔。


(5) 醫療資訊系統將因不同的作業措施而建立不同的管理機制。


(6) 雖然自建UCA與HCA所發憑證造成重覆，但兩者應用角度不同，只要將HCA憑證匯入醫院內系統，即可相互整合應用，而院內UCA可不發放院內醫師憑證，即HCA憑證與UCA憑證相互搭配與授權控管。


結語：創造整合性醫療資訊服務架構(HISA)
整合性醫療資訊服務架構 (Health Information Service Architecture
) 包含以下三個面向：


* 連結醫院對醫院：Connect Hospital and Hospital (B to B)

* 連結醫院對員工：Connect Hospital and Employee (B to E)

* 連結醫院對病人：Connect Hospital and Patient (B to C)



醫療資訊服務透過CA與PKI之整合，將可達到下列目標：

* B to B：電子病歷安全交換(轉診、轉檢、代檢)、醫療資訊共享

* B to E：醫療資訊系統單一簽入、醫療資源授權管理、電子病歷與簽章

* B to C：病人授權上網查看病歷資訊、醫院與病人間的關係更緊密



PKI於醫療環境的應用與整合，除與醫療資訊安全相結合外，對醫院而言，更可創造整合性的醫療資訊服務架構，尤其未來國內若通過相關醫療隱私法後，對於醫療資訊的揭露與存取，將有更嚴謹與完整的規範，因此對於醫療資訊系統的授權與控管，以及電子病歷的簽章與不可否認性，均將與整體醫療資訊安全息息相關。政府與醫療院所透過PKI機制，建構未來電子化醫療時代的安全防護與互相信任，可預期未來民眾看病只要在家上網，便可享受如同在醫院看病的等級與服務。(本文作者現職為異術科技專案工程師)