個資法於2010年4月通過,施行細則預計於2011年5、6月公告,法令通過帶動資安議題的討論熱度,尤其是手握大量隱私資料的醫療業,更是重新檢視資安架構,以求符合個資法規範。
根據MIC所做2011年台灣醫療業資通訊投資趨勢報告,因應新版個資法,各層級醫療院陸續更新或增加資安設備投資,然而,避免資料外洩一定要花錢嗎?在增加資安投資前,先把既有安全漏洞補強,不也是一個因應個資法規的好方法。
KPMG醫療體系資安資深顧問黃嬿儒認為,醫療業的資安威脅可分成人員、醫療資訊系統、資訊設備、及流程等四個面向來討論。其中,人員與醫療資訊系統是最普遍常見的問題,包括資訊專業能力與人力不足、醫護人員缺乏資安意識、委外業務沒有做好安全管理、醫療資訊系統欠缺資料輸入檢查及存取記錄等資安管控機制。
至於資訊設備可能造成的威脅則有兩種,第一是設備故障,資訊室沒有備品或未與廠商簽訂維護合約;第二則是未經授權的使用,這種狀況經常發生在待報廢資訊設備上,這些待報廢設備沒有妥善保管及移除敏感性資料,往往在不經意間就外洩重要資料。
另外在流程面,資訊單位在訂定使用者的資訊作業表單時,比較少提及資安要求,以及告知應擔負的安全責任,導致醫護人員在使用病患資料不夠謹慎、疏於防範,不小心就外洩個人資料,甚至很容易受利益誘惑,故意竊取資料,因為他們不知道這麼做將要承擔責任。