記者/蘇安妮
為提升台灣民眾醫療品質,及醫療服務效能,行政院衛生署於2012年正式推動醫療雲執行計畫。此計畫期望藉由雲端平台,進行電子病歷交換,使不同醫院間的診療服務得以流通。然而,此種似將醫療病歷作為開放資源的計畫,馬上引起民間團體對隱私的憂慮,也使得醫療雲推動至今,仍停滯於各醫院分頭建立私有雲的階段,醫療公有雲的願景卻遙遙無期。
推動醫療雲 個資隱憂烏雲罩頂
雲端技術雖具有降低成本、提升效率之優點,但隱私風險也隨之而來。根據美國Wakefield Research機構的調查顯示,許多人雖了解雲端技術的優點,但對雲端運算維護個人資訊的安全性有所顧慮,至今仍避免使用雲端服務。由此可見,在國內外,隱私問題皆成為推動醫療雲的主要障礙。
政府對醫療雲的規劃,目前由健保局提供個人醫療資訊,匯整後刪除民眾的身分資料,傳送至雲端平台運算,再將有價值資訊授權國際藥廠使用。此舉雖能幫助國際藥廠節省龐大的臨床成本,然而,原本為個人擁有的病歷資料,經由雲端技術儲存於雲端服務提供者時,可能將使得資料在未經由當事人同意的情形下,揭露於第三方人士。
因此,在知曉行政院醫療雲計畫後,部分民間團體即質疑醫療雲的安全性與正當性。台灣人權促進會則表示,行政院醫療雲計畫雖會將民眾身份加密後,才供第三方使用,但此舉仍可能侵犯個人隱私權,應當慎思配套方案,方可執行。民間健保監督聯盟也呼籲,健保醫療資料庫應設置「倫理審查委員會」,對每一筆醫療資訊進行把關,並確保資料在使用前皆已取得當事人的同意。
醫療產業電子化 美國推HIPAA保個資
為促進醫療效率,美國近幾年也致力於醫療產電子化。為提高公民醫療資訊隱私保障,於1996年,國會通過「健康保險可攜性與可責性法案」(The Health Insurance Portability and Accountability Act,以下簡稱 HIPAA),以協助醫療產業電子化順利進行。
於2000年,HIPAA制訂了「個人可辨識身分之健康資訊的隱私標準」,明文規定只有在以下情況,醫院才能將醫療資訊提供給藥商等第三方使用: 第一,病患個人向醫生申請病歷資料。第二,基於診療、核銷費用之目的,例如:保險費用核銷。第三,去除身份資料後,供學術研究使用。然而,除了符合以上情形,每一筆欲揭露的醫療資訊,皆須經當事人同意方可執行。HIPPA不僅明文規範任何存有醫療資訊的機構需遵守的規範,同時也保障公民權利,值得台灣政府效法跟進。
醫療雲成功升空 資料加密成關鍵
為解決民間團體及民眾對隱私問題的疑慮,醫療資料的加密技術,擁有舉足輕重的地位。加密後的資料須以金鑰開啟才能讀取,然而,不同領域的醫療人員對電子病歷進行加密,將造成電子病歷多次加密,需用多樣金鑰讀取情況。為改善此不便的情形,Bethencourt, J.等人於2007年提出屬性加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的技術,透過使用策略的設定,讓醫療人員能根據自己的工作內容取得一把金鑰,像是小兒科醫師,及可運用一把金鑰取得相關領域的病人病歷,讓醫療資源能夠在不同的醫療機構間,安全的流通與紀錄。
醫療雲能降低醫療成本、製造商機、增加醫療效能及品質,然而,雲端技術的使用,勢必將伴隨隱私問題。因此,如何維護醫療個資,保障公民權利,將成為台灣政府急需思考的課題。