「請問是林小姐嗎?」
「我就是。」
「林小姐,你好,我這裡是XX醫院領藥處,請問你早上是不是有來看診?現在人還在醫院嗎?」
「我已經回到家,有什麼事嗎?」
「有人冒用你的健保卡重複領藥,積欠醫院10幾萬元領藥費,我們已經報警處理,待會警方會打電話給你,麻煩你配合警方問話,謝謝!」
詐騙集團又有新花招,近2年來,類似上述的醫療詐騙電話不勝枚舉,許多民眾經常在看完門診後不久,就接到來自詐騙集團的電話,電話另一端的詐騙份子偽裝成醫護人員,對於就診日期、時間、科別等資訊瞭若指掌,令民眾不疑有他,尤其許多看診病患多為年紀大的長者,更是容易上當受騙,導致醫療詐騙電話愈來愈多,根據165反詐騙專線統計,詐騙集團最常偽裝成長庚、榮總、台大等醫院的醫護人員。
而醫療詐騙電話猖獗的程度,也讓醫療業者不得不發佈聲明,像馬偕醫院就在官方網站張貼以下聲明稿:「近日有民眾接獲詐騙電話,佯裝為本院人員,指出病患有重複領藥、積欠藥費、健保卡遭冒用等狀況,或是宣稱本院健檢中心提供優惠服、與病患確認檢查報告等,」除了馬偕,許多醫院也有類似聲明稿,聲明稿的目的一來避免病患受騙,二來則是澄清自身並沒有外洩病患資料,一切全是詐騙集團的詐騙手法。
網路掛號系統 清楚掌握就診資訊
但若不是駭客入侵系統取得病人資訊,為什麼詐騙集團還能夠清楚掌握病患的就診情形?醫療業者表示,醫療資訊系統基於病人隱私考量,多限制只能在院內環境使用,駭客從外部攻擊並不容易,更何況就算是駭客入侵,頂多只是單點單家醫院被攻破,不致於短期內、大規模地入侵每一家醫院,問題關鍵在於網路掛號系統。
網路掛號系統基於便民考量,查詢機制通常不會太嚴格,只要輸入幾個簡單地身分識別資訊,像是姓名、身分證字號或生日,就能查詢掛號資訊,舉例來說,台北附醫早期的網路掛號系統,只要輸入身分證字號和姓名就可以查詢資料,而中國醫藥大學附設醫院,初診查詢只要輸入身份證字號,複診查詢則增加生日欄位,高雄醫學大學附設中和紀念醫院只要輸入身份證字號就可以查詢,嘉義基督教醫院資訊室主任馬榮隆說,「網路掛號系統應該是醫院目前惟一對外服務的系統,也是最容易有漏洞的地方」。
台北醫學大學附設醫院資訊室主任謝逸中表示,之前曾經連續二個禮拜接獲民眾投訴,指出接到自稱台北附醫工作人員的詐騙電話,經過調查發現院內資訊系統並沒有駭客入侵的跡象,反而是網路掛號系統在深夜時段出現大量查詢記錄,原來,詐騙集團在黑市買到個人資料後,利用機器人程式登入網路掛號系統,查詢哪些人有在此預約掛號,再根據掛號資料進行詐騙,為杜絕機器人程式,台北附醫增加了圖片驗證碼機制,之後就再沒有接獲民眾投訴電話。
除了台北附醫外,目前超過半數以上的醫院,皆在網路掛號系統中增加圖片或數字驗證碼機制,目的就是要避免詐騙集團的機器人程式攻擊,其中,有二家的做法比較特別,馬偕醫院在圖片或數字驗證機制外,另外提供了網路密碼機制,民眾可持健保IC卡至馬偕醫院的自動掛號機設定網路密碼,日後若要網路掛號、查詢或取消,必須輸入此組密碼,降低掛號資料被他人得知的風險,但這個欄位並非一定要填寫,如果沒有設定網路密碼者就不必輸入,至於佛教慈濟綜合醫院則是用數學運算式進行驗證,例如:5+3、4-1等,要求使用者輸入運算結果,相較一般單純辨識英文字母或數字的驗證機制來看,顯然又安全一點。
駭客黑市買個資 醫院仍須擔負舉證責任
新版個資法通過,前述醫療詐騙模式是否會對醫院造成衝擊?法務部科長黃荷婷認為,即便個資是詐騙集團由黑市買來,不是經由醫院資訊系統外流出去,但醫院不必擔負責任,醫院仍要負起舉證之責,除了證明自身擁有基本的安全防護能力,更要證明駭客是用資料拼圖的方式,取得受害者的就診記錄,並非什麼責任都沒有。
在新版個資法的舉證責任下,保留系統Log或許是個不錯的方式,然而,台灣很多醫院的web server都沒有開啟Log功能,台大醫院資訊室主任尚榮基認為,這是因為醫療資訊系統開發時間早,目前使用的系統很多都是在10年前、甚至15年前所建置,當時根本沒有保留Log的觀念,也沒有足夠的硬碟空間,才會普遍關閉Log功能,但在攻擊手法多樣化的情況下,醫療資訊系統應儘早開啟Log功能,才能在發生資安事件時追查出真正原因。
馬榮隆強調,預防詐騙不能只靠醫院強化IT體制,民眾本身也要負起求證的責任,如果懷疑自身接到的是詐騙電話,應該要自行撥打電話向醫院求證,像嘉基醫院自行開發的電話計費系統,雖然主要用途是記錄院內電話撥打的狀況,但在某種程度上,也可以達到預防詐騙電話的效果。
嘉基醫院有時會主動打電話給病患,通知或提醒病患注意一些事情,例如:目前有空的病床、出院注意事項等,而這套系統會記錄撥電話的員工/部門分機號碼及病患電話號碼,如果病患沒有接到電話,於事後回電時,總機可以根據病患電話號碼確認是否真為院內員工撥打的電話,及撥打者為何人,倘若查無資料,自然就是詐騙集團所為。
孕婦行銷電話接不完 醫院內鬼難防
除了醫療詐騙電話外,醫院個資外洩還有另一種情況,就是懷孕婦女總是在產檢後接到嬰幼兒用品廠商的行銷電話。
「為什麼這些廠商會知道我的電話?」、「為什麼廠商會知道我有購買需求?」許多懷孕婦女都會有這樣的疑問,在醫院做完產檢後,回家就接到尿布、童書、奶粉等嬰兒用品廠商的電話,也或者是在生產完之後才接到,由於外洩的資料量並不大,極有可能是醫院內部員工所為。
對此,台大醫院、台北附醫、嘉基醫院等三家醫療院所資訊室主任皆不否認,但也強調已在規劃管控措施,避免內部員工外洩病患資料,台北附醫選擇透過DLP落實管理制度,而台大醫院與嘉基醫院則著重於應用稽核制度進行管控。
台大醫院自2004年開始仿美國AHIMA模式,每年舉辦「病歷隱私保護宣導週」活動,取名為「小密封運動」,藉此強化醫院員工對病人隱私權的尊重及病人病情資訊之保密責任,尚榮基指出,病人隱私涵蓋範圍廣,近年來小密封運動的主題特別強調資訊安全這一塊,就是希望建立員工的資安意識。
另一方面也配合內部稽核制度來保護病人隱私,由IT部門與病歷管理室擔任稽核人員,定期檢查員工的使用行為有無異常,由於Log資料很多,稽核人員採用抽查方式,由員工說明存取行為和業務職掌的相關性,這種做法可以讓員工明瞭任何的使用行為都會留下記錄,在使用病人資料時就會特別小心,降低洩露病患資料的風險。
馬榮隆指出,院內經手病患資料的人太多,包括門診醫師、跟診護士、藥劑師、檢查室等都有可能,而且這些接觸大多屬於合法行為,所以要防止院內人士洩露資料其實不容易,只能透過教育及稽核制度進行管控。
嘉基電子化程度高,全院幾乎都已經是無紙化作業,可以透過系統存取紀錄來稽核員工,院內的電子病歷稽核小組每個月都會去分析Log,尤其是那些「病患不在院內、資料卻被調閱」的記錄,甚至會請員工說明原因,同時,此類資料在調閱時,不僅員工要載明理由,主管也必須負起簽核與稽核的責任,應用雙重稽核制度降低資料外洩風險。
此外,嘉基醫院也透過病人申訴窗口主動調查,當病患懷疑醫院洩露個資時,可以向此窗口工作人員反應,醫院再進一步調查哪些員工接觸過該名病患的資料,逐一請其說明,甚至當反應個資外洩的病患數量較多時,也可以利用交叉比對的方式,找出最有嫌疑者做進一步調查,如果查證屬實就予以懲處。
無論是否員工個人作為 醫院法律責任難免
從法律角度來看,醫院員工洩露病患資料給廠商,可能擔負哪些法律責任?最直接的影響就是新版個資法。
黃荷婷認為,這有兩種可能性,第一、醫院和廠商間有合作關係,醫院定期提供孕婦資料給廠商,在新版個資法通過後,醫院在交換資料前,必須履行告知義務,詢問孕婦是否願意將資料提供給廠商作為行銷用途,否則就可能負起法律責任。第二、如果醫院表示沒有和廠商合作,病患資料外洩純粹是員工個人行為,那麼醫院仍然不能免責,必須證明自身有完善的內控流程,倘若什麼制度都沒有,法官會認為其乃「放任」員工洩露資料,醫院同樣也要擔負起病患資料外洩的責任。
衛生署醫事處科長周道君曾經指出,現行衛生法令早已有關於病人隱私防護的規範,包括醫療法、醫師法、護理人員法等,像護理人員法第28條便規定,護理人員或護理機構及其人員對於因業務而知悉或持有他人祕密不得無故洩漏,否則將處新臺幣六千元以上三萬元以下罰鍰,因此,不必等到新版個資法上路,各地方政府衛生局早已擁有行政檢查權,對於個資外洩事件可以進行調查。
最後,孕/產婦資料外洩的原因還有另外一種可能,那就是各縣市政府衛生局負責婦幼健康醫療照顧相關業務的公務員,衛生署國民健康局在2001年建置完成「出生通報系統」,各地衛生局皆可透過網路連線查詢全國新生兒資料,或是透過其他書面資料取得孕/產婦及新生兒資料,例如:產婦B型肝炎產前登錄表、孕婦B型肝炎送檢名冊、新生兒出生證明書、嬰幼兒B型肝炎注射卡、嬰幼兒預防接種移轉通知單。
之前就曾經爆發各縣市政府衛生局公務員將資料洩露給南丁公司的案子,南丁公司負責人利用過往從事護理工作的人脈,央求各縣市政府衛生局公務員給予孕/產婦及新生兒個人資料,由公司員工將資料建檔,並以每筆8~32元不等的價格出售予相關廠商,整起案件的關鍵在於相關承辦人員欠缺保密觀念,及沒有內部人員非法下載資料的防範措施,才讓南丁公司可以非法圖利。
由此可見,在醫護產業裡,「人」才是資料外洩最大的風險,然而無論是醫院或公務機關,在規劃系統時,總將安全議題聚焦於防範外部駭客入侵,忽略了內部管控的重要性,因此如何建立使用者的資安意識及病人資料使用的監控機制,避免內部員工有意或無心洩露,是未來醫療產業最應該關心的課題。