第三章 以 HFMEA 檢視現行醫療資訊隱私保護
第二節 以 HFMEA 檢視醫療資訊權之侵害
雖然 HFMEA 適用於作業程序分析檢討,本文嘗試將醫療資訊之 蒐集、處理、利用轉化成作業流程,將部分作業流程的步驟進行檢視,
以了解在現行法制管理下患者之醫療資訊權利可能受到的侵害,以及 對機構運作可能造成之風險;並建立風險評估表,評估資訊權利受侵 害的可能性及嚴重度,計算風險優先級數,並對應相關法規,將法規 範作為流程的管制,做系統性、全方位的檢視,以發掘現行法規不足 之處。
傳統上 HFMEA 的進行,是針對作業流程中可能出現的錯誤進行 系統性檢視,此錯誤可能是人為疏失也可能是系統錯誤,此系統錯誤 主要是指內部管理或作業標準的不當,因錯誤而導致效應的種類並未 限制;本文將錯誤所引發的效果,即失效的影響,侷限在隱私權或自 主權的侵害,並且將系統錯誤由內部管理,延伸至外部法規。藉此檢 討我國對於醫療資訊權利保障的缺失,尋求更完善的保障。
以下即以某區域教學醫院(隸屬某醫療體系醫院)醫療資訊作業 之部分流程為例,進行失效模式與效應分析檢討。團隊成員包含醫師、
護理師、資訊工程師、醫療事務室(主掌業務包含健保申報、病歷管 理)、醫管師以及工安人員。
第一項 繪製作業流程
關於醫療資訊整體作業,依據「個人資料保護法」對於資料作業 的構面可分為蒐集、處理以及運用三個主流程。此作業流程之繪製,
即是由此三個主流程所延伸(見圖二)。在三個主流程中,特別是資訊 蒐集和運用,在作業中必須含括內部作業流程以及對第三方之資訊揭 露,因此將部分作業流程區又分為醫院內部流程及內部流程兩部分進 行。內部流程係指醫院內關於病歷資料的建立、蒐集、儲存、修正、
調閱以及銷毀等步驟,除了醫療目的外尚包含教學與研究,醫療資訊 之流通僅限於醫院內部,著重於內部資訊安全管理;而外部流程是在 於醫院所建立之病歷資料,因醫療上需要或法律規定或當事人請求等 原因而向醫院外部組織或人員進行資訊之流通或揭露,如健保申報、
行政通報、商業保險、司法等之運用,著重於當事人授權或法源依據,
以及是否依循法律保留並符合比例原則。三大主流程之下尚有數項次 流程,本文將針對流程中易侵害資訊主體隱私權或自主權的高風險流 程進行分析與檢討。
51
蒐集
直接取得 問診、檢驗、檢查
間接取得
讀取內部資料 讀取外部資料庫
處理
資訊輸入 資料儲存 資料查詢
當事人請求 授權查詢
資料變更
當事人請求 管理者變更
資料刪除
當事人請求 時限屆滿刪除
利用
醫療
治療
保健(含遠距照護)
研究
教學 研究
法律規定
行政通報 健保(社會保險)業務
司法需求
其他目的外使用
提供健保資料庫 提供資料加值協作中心
私人保險業務
圖二:醫療資訊相關作業流程52
第一款 資訊蒐集
病歷資料的建立基礎為資訊蒐集,蒐集方式可分為直接蒐集與間 接蒐集,依據在蒐集過程中涉及之適法性、合宜性與正確性來決定將 進行分析的流程。直接蒐集部分,因為需要病人的配合方可進行,因 此較無權利侵害之可能。而間接蒐集則可能發生當事人不知或了解不 足的問題,因此將對內部資料庫讀取與外部資料庫讀取來進行流程檢 討(如圖三)。
第二款 資訊處理
依「個人資料保護法」第 2 條,資料處理是指資料之記錄、輸入、
儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。在 資訊處理流程中最重要的就是 HIPAA 所強調的資訊機密性、完整性 與可用性。其中高風險之流程有資訊查訊、資料存取輸出以及刪除等 流程(圖四)。
掛號
直接蒐集
填寫個人基本資料
問診
直接蒐集讀取內部資料庫
間接蒐集 點選資料庫
查詢資料
讀取外部資料庫
間接蒐集 患者填寫同意書 使用醫事人員卡 與個人健保卡 使用VPN網路連接
雲端資料庫 查詢資料 圖三:蒐集作業流程
53
第三款 資訊利用
醫療資訊於醫療機構內部之使用包含有蒐集目的之醫療行為使 用,以及因應「醫療法」第 67 條第 3 項製作各項索引及統計分析;
非醫療行為或「醫療法」製作病歷的目的以外之利用還包括教學、研 究、司法、商業保險投保給付、社會保險(如健保、公保、勞保、農漁 保等)使用等等;而經由醫療機構取得個人醫療資訊後再利用的部分,
其中以健保資料庫之使用爭議最大(流程如圖五)。另外研究(流程如圖 六)與遠距照護(流程如圖七),雖有其醫療上之目的,但非屬醫療行為 的一部分,也屬隱私侵害高風險之流程。
蒐集
各院所上傳健保資料
處理
去辨識
利用
提供醫療院所醫療使用
提供國衛院健保資料庫 健康資料加值應用協作
中心
查詢
輸入職編、密碼
進入醫療資訊系統
輸入患者病歷號碼
點選欲查詢資料日期類別
存取輸出
資料匯出
行動裝置儲存
刪除
時限刪除
請求刪除
圖四:資料處理相關流程
圖五:健保資料作業相關流程
54
第二項 建立風險評估表
本文採用健康照護之失效模式分析,為嚴重度與可能性的二維分 析,以計算出風險優先級數(Risk Priority Numbers,RPN)。
蒐集
簽署同意書
接收客戶資訊
讀取客戶就醫資料
處理
資料傳輸至照護平台
資料儲存至資料庫
利用
提供照護諮詢
提供轉診就醫參考
研究主題選定
設定主題 研究計畫 申請IRB
蒐集資料分析
選定蒐集範圍 說明研究內容 取得當事人同意
資料蒐集 資料分析 當事人取消同意
成果發表
資料去辨識 資料公布
資料銷毀
銷毀時機 當事人請求
圖六:研究相關作業流程
圖七:遠距照護作業相關流程
55
第一款 建立風險矩陣-嚴重度
計算風險優先級數的因子之一是發生事件時所可能造成的嚴重 度。嚴重度的評比內容可包含失效影響的程度範圍、可能出現的傷害 程度、財產損失等。在本文中所探討的是資訊權利侵害時所可能造成 的影響,因此評比的原則是依據失效模式所造成資訊侵害的族群範圍 如僅僅單一個案受影響,或是某一特定族群如罹患某種疾病或是接受 某種治療的患者;可能散布的程度如僅特定個人或機構內部人員得知 病人資訊,或是已為第三人所得知,或是已散布於眾造成當事人人格 受具體之侵害;以及是否可能面臨的行政、民事或刑事的訴訟來評比 嚴重度。評比之依據有侵害結果、範圍與工作人員影響三個面向,同 一事實在三個面向中可能造成不同之評分,最終將以最嚴重之分數採 計。共分為十個等級,以下為嚴重度評比的標準與分數的列表(如表格 四):
表格四:嚴重度評比
嚴重性─S 評比
級距 評比原則
工作人員影響 侵害結果 影響範圍
1-2 不受影響 造成可能隱私侵害 個別病患
3-4 機構內部懲戒 造成隱私侵害為僅內部人員
所知 單一特定族群
5-6 行政罰
造成隱私侵害為內部人員及 當事人所知但不為其他第三 人所知
多個特定族群
7-8 民事賠償 造成隱私侵害為第三人所知 不特定族群(非全部但 無法確認影響範圍)
9-10 刑事罰 造成隱私侵害致生損害 全部
56
第二款 建立風險矩陣-可能性
計算風險優先級數的另一項因子為失效模式可能發生的機率,即 可能性。就醫院內發生的狀況,或是其他機構是否曾發生此類失效模 式,來評比發生的機率(如表格五)。
表格五:可能性評比 (參考 Joint Commission Recources 之建議)
可能性—P 評比
級距 評比原則
1 可能性極微小
國內外從未發生過 2 可能性微小
3 有可能發生
國內從未發生過而國際上已有案例 4 近年內曾發生
5 一年內曾發生過 1 次
國內無案例而國際上已有不少案例 6 每半年至少發生一次
7 每季至少發生一次
國內有一兩案而國際上已有不少案例 8 每月至少發生一次
9 每週會發生
國內已有不少案例 10 天天會發生
第三項 危害分析 第一款 資料蒐集
資料蒐集所分析的流程是病人於就診時,為了建立病歷資料所需,
而進入機構內部資料庫、醫療體系事業群內部資料庫或是連結外部資 料庫蒐集相關資料時的流程。內部資料庫以及外部資料庫的資訊蒐集 流程的 HFMEA 內容如表格六、表格七。依現行「個人資料保護法」
規定,即使是進行醫療行為而需蒐集利用個人醫療資訊,仍然需要病 人有效之授權同意,因此只要不符合現行法規要求,即屬於隱私侵害。
57
58
59
60
61
62
63
64
65
第四款 結果與優先改善項目
完成失效模式的風險優先級數(RPN)計算後,將各失效原因之 RPN 值彙整,並繪製 RPN 之柏拉圖(如圖八),總 RPN 值為 2104。將 各項失效模式與失效原因歸納分類,可發現以安全管理措施問題最多,
包括資訊安全管理的科技保障措施不足、資訊安全管理之內部授權相 關問題等共佔 53.3%。其次為授權同意相關的問題佔 36.9%,其中包 括在就醫時醫師登入資料庫查詢電子病歷資料或雲端藥歷、進行研究 時申請健保資料庫的授權同意、研究時授權解除等問題。最後是針對 健保資料庫資料問題佔 9.5%,涉及目的外利用問題,而這部分是單 項風險優先係數最高的部分,也值得進一步研究(整理如圖九)。
優先改善項目部分,依八二法則來決定優先改善項目98,經計算,
RPN 24 分以上累積占率達 81.46%,總分為 1714。就優先改善項目進 行分析,其中仍以資安管理問題最多,占 52.41%;其次為授權同意問 題,占 35.86%;而健保資料庫使用問題,占率提高到 11.67%。
98 美國 J.M.Juran 將柏拉圖運用在品管領域,關鍵重要的少數,瑣細的多數(vital few,trival many)
圖六:失效原因 RPN 值
66