【從法規面解讀 7大產業如何遵循個資法】系列~~醫療業：病歷存取與保管要謹慎

2013 / 06 / 07

朱瑞陽

院驚傳病歷丟置地下停車場

近來醫院病歷個資外洩層出不窮，○○醫院離職員工爆料，院方將最重要的病歷違法擱置在地下停車場，且有兩年之久，對此，○○醫院解釋，因空間不足才暫時堆放該處，地下停車場只有醫師才能申請使用，且都有警衛巡視，故不會有個資外洩問題，但已立即移置這些病歷資料。台灣醫療改革基金會建議衛生主管機關，在4年一次的醫院評鑑制度中應有不定期抽查機制，最好還能明確規範病歷存放的空間大小、管理方式，讓醫療機構有所依循。（資料來源：蘋果日報 2011/12/21）。

由上述案例看來，停車場顯非醫療機構指定保管病歷之適當場所，且未配置人員管理，實已違反醫療法第70條規定而有受行政罰鍰之虞。再者，醫療機構將病歷置放在地下停車場，不但容易使紙本資料受潮、遺失，,對於取得病歷之權限控管亦明顯不足，倘若因此造成資料外洩，按醫療法規定將處5萬元以上，25萬元以下罰鍰，其行為人亦同受處罰，若觸犯刑事法律者並移送司法機關辦理，而病人亦可依新版個資法向業者請求損害賠償。

依照醫療法規定，醫療機構及其人員因業務而知悉或持有病人病情或健康資訊，不得無故洩漏，違反者將處新臺幣5元以上，25萬元以下罰鍰。新版個資法施行後，除將違法洩露個資之民事賠償金額設定為最高額新臺幣2億元，更明定損害賠償之舉證責任及範圍，私立醫療機構之責任標準為推定過失，而若為公立醫療機關，其責任標準更提高為無過失責任。

因此，醫療機構應按個資法施行細則對於安全維護措施之要求，建立個資管理機制及配置適當人員保管病歷、定期進行資料安全稽核、並加強員工的認知宣導及教育訓練。

尤其是紙本病歷保存的問題，之前曾有過不少相關新聞（如：將病歷置放在地下停車場），值得注意的是，醫院若因為保存不當導致病歷被竊取、竄改、毀損、滅失或洩漏，病人得依個資法規定集體請求最高額新臺幣2億元之損害賠償；且由於缺乏適當之安全管理措施，無法對接觸近用病歷之人員、時間、及內容予以完整記錄，在事故發生後，醫療機構亦難以追究第三人不法行為之終局責任。

再者，醫療業因為業務特殊，所保有之病患個人資料多涉及身體隱私，如：病歷、基因、及健檢結果等，在新版個資法中屬於高度敏感性之特種個資，相對在法規遵循上也必須特別謹慎，按新版個資法第6款規定，非依法律明文規定、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施等事由以外，不得蒐集、處理、或利用；該條文一旦實施對醫療產業之衝擊甚鉅，故已暫緩施行並研擬修正，然醫療業者仍應隨時注意本條文將來施行之日期及內容，以做好完善之規劃及準備。

醫療業法規遵循小體檢

醫療業者在遵循新版個資法前，應先注意既有醫療法規有無相關規範，舉例來說，醫療法規定病歷至少要保存7年，倘若病患依個資法請求刪除時，醫療業者需先確認該病歷是否已保存7年，倘若未達7年便不能刪除。建議醫療業者可依表1進行系統性盤點，確實掌控個資之範圍與流動情形，進而落實新版個資法課予之各項義務。

表1：新版個資法 VS 醫療業特殊規定之體檢表

新版個資法體檢項目

醫療業應注意之法令或函釋

體檢重點

個人資料範圍之界定：任何直接或間接可得識別特定個人之資料，均屬個人資料

1. 病歷：(1)醫師依醫師法執行業務所製作之病歷。(2)各項檢查、檢驗報告資料。(3)其他各類醫事人員執行業務所製作之紀錄(醫療法第67條第2項)。

2. 醫療：指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。

3. 基因：指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。

4. 健康檢查：指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。

(2. 3. 4. 請參見個人資料保護法施行細則第4條)

界定為個人資料者，均有新版個資法適用，確認是否已包含：