https://twcert2024.informationsecurity.com.tw/

觀點

醫療隱私保護:防內鬼遠勝於阻擋外敵

2010 / 11 / 15
廖珮君
醫療隱私保護:防內鬼遠勝於阻擋外敵

你的病歷資料安全嗎?根據研究機構Ponemon Institute日前發布的調查報告:病人隱私與資料安全(Patient Privacy and Data Security),美國醫療產業資料外洩事件相當普遍,每年因資料外洩而造成的損失高達60億美元,造成病人資料外洩的原因主要為員工疏失及管理政策不夠嚴謹。

 

對比到台灣醫療環境來看,雖然沒有實際統計數字,但病人資料外洩的情形卻同樣存在,最常見的就是懷孕婦女到醫院產檢後,立即接到嬰兒用品廠商的行銷電話,其中最大嫌疑者就是醫院內部員工,由此可知內部管控是全球醫療產業共通的問題。

 

尤其病歷電子化之後,更加深管控難度,以往紙本病歷可以將病歷資料鎖在檔案櫃裡,只有少數人擁有鑰匙,病歷調閱必須經過申請,但電子病歷卻不能這麼做,任何人都有機會接觸病歷資料,因此,資料管控方式也必須有所改變,才能確保病患隱私權益。

 

台大醫院副院長王明鉅曾經表示,醫療業隱私保護最大的挑戰是,太多人有機會去接觸病患資料,畢竟醫療是個高度專業的領域,醫療行為必須由許多人共同完成,同一名病患可能會接觸1個以上不同科別的醫師與護士,在太多人有機會接觸到病患資料,系統該如何判定此為正常使用亦或異常存取?

 

最好方式是動態管控系統的存取權限,根據WhoHowWhenWhat四個原則賦予權限,亦即這筆資料誰有權限(Who)讀取?權限到何種程度(How)?何時有權限(When)?擁有什麼樣的權限(What)?此外,還須配合教育訓練與定期稽核,才能達到保護病患隱私資料的目的。