医学资讯安全

醫學資訊安全•學程緣由•醫學資訊安全重要–資訊安全案例–醫學資訊安全定義•去年醫學資訊安全課程•今年醫學資訊安全精進計劃•學生責任有沒有學到?(ROI)•資訊安全技術在醫療系統應用•醫學知識(臨床醫療)的發展及困難•PatientSafety醫療資通安全目標•全球電子化時代的來臨，衝擊著健康產業整體的結構與系統，當生命議題面對即時性、互動性的電子化時代得以提昇品質並降低成本的同時，如何建立安全的網路交易環境以確保生命資料在網路傳輸過程不遭受偽造、竄改，同時保障個人生命隱私權利等問題及資通安全解決方案，如確保醫療健康資訊在傳輸過程中之完整性、機密性、不可否認性，降低民眾對於醫療資訊電子化後，對病患隱私保障的疑慮，是醫療系統安全刻不容緩的議題。•美國在1974年國會推出隱私權法後，陸續制定電子通訊隱私權法、電腦安全法、通訊消費者保護法，直到1996年通過重要醫療保險法案-健康保險可攜性及責任性法案（HealthInsurancePortabilityandAccountabilityAct-HIPAA），可見醫療系統安全對於健康照護產業重要影響。AICCRM客戶關係管理系統客服:「東東披薩店您好!請問有什麼需要我為您服務?」顧客:「妳好,我想要………」客服:「先生,請把您的AIC會員卡號碼告訴我.」顧客:「喔!請等等,12345678.」客服:「陳先生您好,您是住在泉州街一號二樓,您家電話是23939889,您的公司電話是23113731,您的行動電話是0939956956.請問您現在是用哪一個電話呢?」顧客:「我家,為什麼妳知道我所有的電話號碼?」客服:「陳先生,因為我們有連線到『AICCRM系統』.」顧客:「我想要一個海鮮披薩……」客服:「陳先生,海鮮披薩不適合您.顧客:「為什麼?」客服:「根據您的醫療紀錄,您有高血壓和膽固醇偏高.」顧客:「那……妳們有什麼可以推薦的?」客服:「您可以試試我們的低脂健康披薩.」顧客:「妳怎麼知道我會喜歡吃這種的?」客服:「喔!您上星期一在中央圖書館借了一本《低脂健康食譜》.」顧客:「哎呀!好……我要一個家庭號特大披薩,要多少錢?」客服:「嗯,這個足夠您一家十口吃,六百九十九元.」顧客:「可以刷卡嗎?」客服:「陳先生,對不起,請您付現,因為您的信用卡已經刷爆了,您現在還欠銀行十萬四千八百零七元,而且還不包括房貸利息.」顧客:「喔!那我先去附近的提款機領錢.」客服:「陳先生,根據您的記錄,您已經超過今日提款機提款限額.」顧客:「算了!妳們直接把送披薩來吧,我這裡有現金.妳們多久會送到?」客服:「大約三十分鐘,如果您不想等,可以自己騎車來.」顧客:「什麼?!」客服:「根據『AICCRM系統』記錄,您有一輛摩托車,車號是GY-7878.」顧客:「……＃@$%^&$%^&※!」客服:「陳先生,請您說話小心一點.您在八十九年四月一日用髒話侮辱警察,被判了十日役.」顧客:「………………」客服:「請問還需要什麼嗎?」顧客:「沒有了,是不是有送三罐可樂?」客服:「是的!不過根據『AICCRM系統』記錄,您有糖尿病…………」病人隱私權的問題?•你去看病的醫生就可以在電腦上看到你之前看病得資料是嗎?•是全部得資料都看的到嗎?還是只有一部份呢?•如果都看的到那有陽委問題的人萬一之前看過泌尿科現在感冒了去看內科醫生明明就不關這個醫生的事他卻都看到了對個人隱私不會照成侵害嗎?•「醫師獲得病患之相關資訊愈少，醫師所擔負之風險相對降低。病患如因不註記相關紀錄產生醫療糾紛，責任之負擔容易向病人傾斜。」•ParsonsandParsons在︿醫療照顧倫理學﹀一書探討醫病關係說：「最理想地，是醫生能以醫療人員所重視的品質，如專業知識、科學技術、效率、客觀性與能力，再配合人性的品質如溫馨、瞭解與熱情。能夠有能力由病人的立場去瞭解病是非常重要的。醫病的關係應該是一個人對另一個人的關係。」病人隱私權的問題?•隱私權是人權的基本權力，在很多醫療場所都會在電梯內或其他開放空間上貼上「保護隱私，請勿談論病人病情」的標語，而依中華民國醫師公會「醫師倫理規範」第11條的規定，醫師應尊重病人的隱私權，除法律另有規定外，醫師不會無故洩露因業務而知悉之病人秘密。那就是說，當個人隱私與公眾健康利益有爭執時，醫師必須在兩者間取得平衡點，這個平衡點要以法律為說明，而不是取決於醫師個人的判斷。•為了讓病人得到最適當的醫療照護，世界醫師會提供一個彈性與開立的陳述，「機密資訊只能在病人給予明確的同意下或者法律有明文規定的情況下透露出來，除此之外，為了提供有效、有品質的醫療照護，醫療照護體系需要適當地分享病人的醫療資訊」。醫療資訊交換安全的四項基本需求1.網路傳輸的安全性，資訊交換中最基本的安全需求就是要確保交換過程中的資料不外洩；2.暫存病歷的私密性，交換病歷在傳輸過程中必定會有暫存於伺服器的狀態，資訊系統必須確保資料在沒有到達診間被醫師閱覽之前都是處於加密保護狀態；3.病友對個人病歷資料的自主性，在一般的情況下病歷資料醫師授權後才可閱覽的，因此醫療資訊安全也要確保病歷資料是病友及醫師同時在場時才能被開啟瀏覽；4.醫師存取病歷資料的合法性，病歷是個人隱私的重要資訊，諸如後天免疫缺乏症候群(AIDS)、精神方面疾病或不孕症等疾病，在保障病友隱私的原則之下，必須要有一套完整的機制來限定醫師在該次看診中可涉及的病歷範圍。醫學資訊安全案例•資訊安全案例–侵入破壞–詐騙盜取–釣魚等•醫療資訊安全案例(隱私權)–台中市胡市長–疾病管制局肺結核資訊(2007.11)–AIDS(LALacker:MagicJohnson)•醫學資訊安全案例(行政管理)(C—A—I)–與一般資訊系統相同但時效及傷害性更嚴重–病人安全(買一刀送一刀)醫療訴訟醫學資訊安全•學程緣由•醫學資訊安全重要–資訊安全案例–醫學資訊安全定義•去年醫學資訊安全課程•今年醫學資訊安全精進計劃•學生責任有沒有學到?(ROI)•資訊安全技術在醫療系統應用•醫學知識(臨床醫療)的發展及困難•PatientSafety醫療系統安全定義-1•全球電子化時代的來臨，衝擊著健康產業整體的結構與系統，當生命議題面對即時性、互動性的電子化時代得以提昇品質並降低成本的同時，如何建立安全的網路交易環境以確保生命資料在網路傳輸過程不遭受偽造、竄改，同時保障個人生命隱私權利等問題及資通安全解決方案，如確保醫療健康資訊在傳輸過程中之完整性、機密性、不可否認性，降低民眾對於醫療資訊電子化後，對病患隱私保障的疑慮，是醫療系統安全刻不容緩的議題。•美國在1974年國會推出隱私權法後，陸續於1986年推動電子通訊隱私權法、1987年電腦安全法、1991年通訊消費者保護法，直到1996年8月由柯林頓總統任內通過重要醫療保險法案-健康保險可攜性及責任性法案（HealthInsurancePortabilityandAccountabilityAct-HIPAA），可見醫療系統安全對於健康照護產業重要影響。醫療系統安全定義-2本課程從社會面、法律面、管理面、技術面、標準面與實務面等，邀請國內專家、學者、醫療服務提供者等提出相關見解與思維，使了解醫療資訊安全解決方案。希望在這樣完整的課程架構下，能夠達到醫療資訊交換安全的四項基本需求：1.網路傳輸的安全性，資訊交換中最基本的安全需求就是要確保交換過程中的資料不外洩；2.暫存病歷的私密性，交換病歷在傳輸過程中必定會有暫存於伺服器的狀態，資訊系統必須確保資料在沒有到達診間被醫師閱覽之前都是處於加密保護狀態；3.病友對個人病歷資料的自主性，在一般的情況下病歷資料醫師授權後才可閱覽的，因此醫療資訊安全也要確保病歷資料是病友及醫師同時在場時才能被開啟瀏覽；4.醫師存取病歷資料的合法性，病歷是個人隱私的重要資訊，諸如後天免疫缺乏症候群(AIDS)、精神方面疾病或不孕症等疾病，在保障病友隱私的原則之下，必須要有一套完整的機制來限定醫師在該次看診中可涉及的病歷範圍。課程內容除了技術因應考量外，並包含相關法令規範、作業流程等內容皆須嚴謹的制定、評估與探討。醫學資訊安全•學程緣由•醫學資訊安全重要•去年醫學資訊安全課程•今年醫學資訊安全精進計劃•學生責任有沒有學到?(ROI)•資訊安全技術在醫療系統應用•醫學知識(臨床醫療)的發展及困難•PatientSafety96年醫學資訊安全課程••6次外賓演講及1次參觀•授課內容–資訊安全概念–醫療資訊:電子病歷–醫療資訊安全隱私權–醫療資訊安全技術:HCASAML/SSOXKMS等–醫療資訊安全應用:北醫長庚三總何特助劉興華總經理：０９３２－３４８１９８葉怡鎮：０９１９－９９８６１４(鉅仁彭博士演講)劉興華總經理：０９３２－３４８１９８葉怡鎮：０９１９－９９８６１４(鉅仁彭博士演講)何特助劉興華總經理：０９３２－３４８１９８葉怡鎮：０９１９－９９８６１４(鉅仁彭博士演講)項次上課日期星期開始結束時數授課教師教學進度12007-02-28三243陳昱仁醫療系統安全概論22007-03-07三243陳昱仁資訊安全技術在醫療系統應用32007-03-14三243蔡榮隆我國醫療資通安全政策規範:以病人隱私權與「電腦處理個人資料保護法」為例42007-03-21三243蔡榮隆美國健康保險可攜性及責任性法案（HIPAA）:(中央研究院資訊所王大為博士演講)52007-03-28三243蔡榮隆資訊安全管理架構設計62007-04-04三243蔡榮隆健保IC卡與醫療資訊系統安全設計:以TMT電子病歷為例(鉅仁彭博士演講)72007-04-11三243蔡榮隆PKI在醫療資訊安全設計—以衛生署「醫療憑證管理中心」機制為例(劉興華博士演講)82007-04-18三243蔡榮隆醫療資訊安全之資料分級分類與複合式病歷資訊安全管理系統設計(工研院葉怡鎮博士演講)92007-04-25三243蔡榮隆以醫療角色建置電子病歷資通權限管理設計(台北醫學大學副院長劉立博士演講)102007-05-02三243蔡榮隆醫療企業整合標準資通安全模組分析與運用WS-Security設計醫學資訊安全系統112007-05-09三243蔡榮隆以XKMS設計密鑰管理系統122007-05-16三243蔡榮隆以SAML設計安全互通機制例如單一登入(singlesign-on)使能跨台使用132007-05-23三243蔡榮隆可延伸存取控制標記語言(eXtensibleAccessControlMarkupLanguage,XACML)142007-05-30三243蔡榮隆以XMLSignature和XMLEncryption確保醫療資訊安全152007-06-06三243蔡榮隆長期照護系統資通安全應用162007-06-13三243蔡榮隆醫療資訊系統安全:以長庚為例(長庚醫院何國豪特助演講)172007-06-20三243蔡榮隆全國醫療資訊網(NHII)資通安全應用182007-06-27三243蔡榮隆期末考試97年醫學資訊安全精進計劃•保留去年醫學資訊安全課程授課內容–資訊安全概念(簡化)–醫療資訊:電子病歷–醫療資訊安全隱私權–醫療資訊安全技術:HCASAML/SSOXKMS等–醫療資訊安全應用:北醫長庚三總(???)•增加–全盤討論:從病人安全醫療資訊安全–企業流程改進:IHE+RFID–資訊系統規劃六步驟:第十一週至第十七週(6+1總報告)97年醫療資訊安全「邀請演講」•臺北醫學大學副院長劉立博士–3月26日:演講題目是「臺北醫學大學附帶醫院醫療資訊安全策略」•鉅仁科技副總彭振興博士–4月2日:演講題目是「數位簽章技術於醫療產業之應用與探討」•中研院資訊所王大為博士–4月9日:演講題目是「醫療資訊揭露及隱私保障技術」•三軍總醫院資訊室黃援傑主任–4月16日:演講題目是「三軍總醫院醫療資訊安全策略」•長庚醫院何國豪特助–4月23日:演講題目是「長庚醫院醫療資訊安全策略」•銘傳大學醫療資訊與管理學系助理教授鄭伯壎博士–