別讓台灣醫療安全法規無疾而終

取法HIPAA，也要符合自身現況
臺北醫學大學醫務管理系助理教授楊哲銘指出，衛生署早在2年多前已委託資策會針對HIPAA條文進行蒐集與研究，評估是否完全參酌美國HIPAA條文來制定相關規範，然而當中牽涉層面非常廣泛，例如美國屬於私人保險制度，保險公司與多家醫療機構存在契約關係，造成被保險人與醫療院所產生許多轉換問題，而台灣採用的健保制度屬於單一保險人方式，因此不需考量轉換問題，由此不難看出台灣和美國的醫療保險情況明顯不同；其次，「嚴格說來，台灣對於醫療安全並非無法可管，相關條文都散見於各類法規中，如個人資料保護法等。」楊哲銘更強調，這也是造成衛生署後來對於是否制定類似HIPAA法律規範或相關特別法等產生不同考量的另一因素，歷經多次協商之後，最後傾向以擬定綱領草案方式做為相關政策宣誓，也藉此提醒醫療院所重視病患隱私和保密等事宜。
目前台灣已制訂完成『醫療資訊安全與隱私保護指導綱領草案』共計9大原則、12項條文，誠如前言所述，不同於美國HIPAA條文規範涉及層面複雜，台灣醫療僅鎖定『醫療機構』來強化安全措施，雖然『醫療資訊安全與隱私保護指導綱領草案』與美國HIPAA條文內容規範有極大差異，但值得注意的是，『醫療資訊安全與隱私保護指導綱領草案』仍保留美國HIPAA條文相關精神內涵，如「最小需求原則」，包括醫療機構在蒐集病患資料應該遵守最小病患資料原則，不可蒐集超過醫療所需資料，這就是對病患最好的保護，又如條文中有明訂不可對病患私人事物做合理期待的探詢，從詢問的過程中就必須謹慎小心，不能藉此刺探病患隱私；當然其中也不乏增加符合台灣實際醫療現況條文，如「合理範圍內的最大安全」做為執行參考原則，此乃基於安全沒有一定標準，不可能無限制要求醫療院所對於安全投入經費，只能依各醫療機構經費情況來做安全評量，但也不代表醫療機構就能當作不安全的藉口。

安全不是問題，法規才是關鍵
或許有人會提及說：「由於電子化資料交換、個人隱私資料等都是當前台灣醫療制度面臨的問題，是否導致台灣取法美國HIPAA制度遭遇難解障礙，因此在制定『醫療資訊安全與隱私保護指導綱領草案』條文時被迫做了修正。」楊哲銘強調，修改原因不全是上述因素造成的，以病歷資料能否由病患自行保留來看，首先去年『醫療法』修正之後，病患已可擁有個人病歷資料的複本，衍生至未來電子化資料制度時同樣可以拿到個人病歷資料，所以這應該不是造成執行困難的關鍵因素，當然部分國家電子化資料的做法允許病患可以自行刪除個人的醫療記錄，目前『醫療資訊安全與隱私保護指導綱領草案』已明確規定病患能夠擁有查詢、閱覽、複製等權責，但對於資料刪除權限仍沒有明確規範，關於此一權限目前台灣醫療當局仍持相當保留的態度，因此未來台灣電子化病歷後只存在能否擁有刪除權限的問題。
至於隱私權方面該如何保障？楊哲銘提出不同思考方向，他表示：「當觸及此一問題時，多數人都陷入安全的迷思之中，也就是直覺認為醫療院所對於病歷資料的保護不夠周全。」但其實根本不必太過擔心此一安全問題，因為醫院本身就肩負保密義務，也必須承擔醫療安全法規責任，包含要防止醫院內部人員洩密或外部入侵等層面。至於衛生署要用何種方式推動？楊哲銘建議，可以結合『醫療資訊安全與隱私保護指導綱領草案』來制定較強制性隱私權法案等，當然也有人認為不需立法保護，但凡此建議都只是眾多想法之一，至於未來會將傾向何種方向就有待評估？目前衛生署也已將『醫療資訊安全與隱私保護指導綱領草案』公告網站上徵求意見，也就是讓大眾對『醫療資訊安全與隱私保護指導綱領草案』提出不同看法。

堅持制訂醫療安全法案的原則
令人質疑的是，從眾多實際案例來看，許多研究報告或草案研擬到最後多半不了了之，對於『醫療資訊安全與隱私保護指導綱領草案』是否也會面臨此類狀況呢？楊哲銘認為，基於電子病歷是未來潮流，這勢必連帶牽動『醫療資訊安全與隱私保護指導綱領草案』的修正。其實以『醫療法』的架構規範而言，除非大眾都知道可享有條文的權力，例如擁有複製個人病歷等，否則通過與否對於民眾的感觸並不會非常深刻的。唯一不同的是，如果安全的技術層面能有更多規範，這對社會大眾來說就較能放心，如防止個人病歷資料外洩等，這就好比將錢存入銀行，在未有安全事件發生前，一般民眾是不會感受不安全的，在乎的只有領不領到錢而已，但如果能有政府政策規範就可以讓民眾的安全更有保障。
但『醫療資訊安全與隱私保護指導綱領草案』對醫療機構的影響就非常明顯，假使規範越嚴格則醫療院所支出成本和作業流程就越大；究竟醫療人員是否分級管理將牽涉權限控管等，也會涵蓋防護、備份和認證等措施，因此未來如果實施將對醫院帶來非常大的衝擊；另外，醫療安全趨勢也將朝向整合醫療憑證方向前行，如第三者認證、自然人憑證等將涵蓋其中，只是時間早晚而已。而未來要讓『醫療資訊安全與隱私保護』相關法案通過立法的路還很漫長，楊哲銘強烈建議，雖然立法過程較為冗長，仍建議可由立法院強制立法或由衛生署訂定特別法來執行，如同制訂『醫療法』、『醫事法』方式才能採取強制性措施保障病患醫療權益，當然這也要看局勢演變，畢竟民眾其實對於安全問題的往往相距遙遠；此外，業界對於『醫療資訊安全與隱私保護指導綱領草案』的強制立法也持存疑的態度，最根本因素是否造成成本增加等問題，如同HIPAA明訂許多規範造成美國業者不小的負擔一般，因此想要讓『醫療資訊安全與隱私保護指導綱領草案』順利立法和執行，除了各項因素配合之外，也必須透過政府和業者釐清來達到某種程度的共識，當然這部分更需要資訊人員來界定，來達到一般大眾與企業都可以接受的安全範圍，這也是未來台灣醫療安全必須面對的關鍵問題。

後記
楊哲銘以個人立場再次重申，相較於美國HIPAA條文而言，目前台灣『醫療資訊安全與隱私保護指導綱領草案』的內容較少，且原則上也不會碰觸技術性層面，只具有宣導作用，雖然『醫療資訊安全與隱私保護指導綱領草案』現階段只是一個大方向的草案綱領擬定，不具法律的強制性，只能做為醫療單位制定安全政策的參考規範，但並不代表未來就不會更改成為較具強制性的法律條文，這一切也都要看政府如何運用智慧來整合資源和排除各項阻礙了。