和病歷的使用或公開。
c. 病患的認知:病患確認醫療記錄後都會透過簽章表示同意醫療服務和過 程。
增加醫生的參與(Did):在產生通訊金鑰(Ks)時增加主治醫生的身分編號(Did)。醫 生必須對病患醫療負責,因此病歷中紀錄的每次的主治醫生的編號。當有些醫療 情況發生時(例如:轉診後需要調閱先前醫療資訊或發生醫療糾紛)也可以透過通 訊金鑰(Ks)確認主治醫生的資訊以進行後續相關處理事宜。
Ks = h(h(Km||Hid)||Did||sn)
參考HIPPA條件
a. 機密性:每次醫療服務過後醫生會把病患的病歷利用加密技術以密文的 方式儲存病歷達到保護病歷的目的。
b. 資料完整性:病歷都有醫生的身分編號如同病患的數位簽章,不僅可以 降低病歷被竄改的機會,也可以避免醫生逃避醫療責任。
而本論文所提出改良的金鑰管理技術和增加法定代理人的討論與分析如下:
由政府醫療服務機構(SG)單方面產生、管理和復原主要金鑰(Km):由政府醫療服 務機構(SG)單方面產生、管理和復原金鑰有可能發生金鑰被竄改或竊取,進而發 生病患的隱私資料外洩。因此本方法透過秘密共享(Secret sharing)金鑰的技術,
由兩個政府部門政府醫療服務機構(SG)和政府任信的第三方(TA)分別管理部分 金鑰(x1)和(x2),使得沒有任何單位擁有完整病患的主要金鑰以防堵任何單位間共 謀等惡意行為發生的可能。
(2,2)-秘密共享金鑰 {x1, x2}
政府醫療服務機構(SG)儲存(x1)和政府信任的第三方(TA)保管(x2)
參考HIPPA條件
a. 資料完整性:單方面做金鑰管理很難避免被竄改或竊取,利用秘密共享 金鑰的技術使金鑰分散管理,回復金鑰時可以透過兩個政府部門管理確 保金鑰是完整性無虞的。
b. 病患的認知:病患必須了解政府管理金鑰的方法,在一般情況如果病患 金鑰遺失必須回復金鑰時必須透過病患向政府提出申請。
增加病患的法定代理人(AG):當病患於緊急事故中失去了自主意識時,病患所 指定的法定代理人可以適時地協助緊急醫療過程的進行以及病歷資料的管理與 使用。在緊急醫療事故中通常會涉及病患的生命財產的安全和道德倫理的問題,
這樣的問題無法憑藉著公告或合約由政府醫療機構來負責,交由病患或是病患的 法定代理人來做決定,可以避免一些糾紛減少國家社會資源。
參考HIPPA條件
a. 病患的控制:在緊急情況發生時,透過病患法定代理人通常與病患有直 接或間接的親屬關係,可以全權代替病患處理或簽署控制醫療相關證明 或資訊。
b. 例外情況:在緊急情況發生時病患法定代理人來替代病患向政府提出申 請,可以避免由醫院和政府回復金鑰後可能發生的醫療問題。
將安寧緩和醫療條例應用在我們所改良的例外情況,不僅符合安寧緩和醫療條例 的規範,也達到HIPAA法規的規範。我們增加了目前台灣現行的醫療法規,更能證明 我們所提出改良方法的可行性。
以上提出的方法和機制皆能有效率解決問題和提高病患的隱私性和安全性。提出 改良技術在例外情況下能確保病患的病歷是透過病患法定代理人(AG)、醫院、政府醫 療服務機構(SG)和政府信任第三方(TA)多方監督才能完成金鑰回復,可以降低政府醫 療服務機構(SG)單方面的作業所產生的風險。
我們的方法針對每一個階段做了改良來提高病患病歷的隱私性與安全性以及醫 療責任的歸屬,改良方法分別為第一個登記階段增加秘密共享金鑰技術,第二個加密 階段增加病患的數位簽章,第三個解密階段增加病患的法定代理人與安寧緩和醫療條 例的例外情況。雖然我們的方法提高病患病歷的隱私性和安全性,而系統計算量及通 訊量比Lee的方法稍微提高了些許,但是整個醫療流程仍然可以有效率的運作。
由於理論研究與實務操作可能會有差異或不同的問題,因此在理論研究與實務操 作兩者之間的評估與考量,將如何從中間取得平衡點是一個重要的議題,而後續我們 會針對這個議題做研究討論與分析取得較適當的安排。
結論
在本論文中我們提出方法來改良醫療資訊系統中金鑰管理的安全性,能夠將主要 金鑰分別由兩個以上的政府單位共同保管,可以降低主要金鑰的被洩露的風險。同時 在電子病歷中加入了病患的數位簽章,確保病歷內容的正確性和不可否認性。在醫生 和法定代理人的參與下,可較容易地釐清醫療相關責任和降低醫療糾紛。
提出改良的方法能有效率的解決原先Lee論文所發生的兩個問題,而且在例外情 況我們的方法保障了病患權益,並將台灣現今的安寧緩和醫療條例,運用在我們所改 良例外情況的醫療流程中,皆是參考安寧緩和醫療條例和HIPAA的原則與概念來完成 研究。
我們的方法依照HIPAA安全規範所要求的兩個規範,分別是隱私性規範和安全性 規範,由Lee等人的論文所提出的五項條件,和我們增加兩項條件都能夠達到HIPAA 的原則和精神。
參考文獻
[1] “Health Insurance Portability and Accountability Act of 1996,” 104th Congress, Public Law, pp. 104–191, 1996.
[2] “Health Insurance Portability Accountability Act of 1996 (HIPAA),” Centers for Medicare and Medicaid Services (1996) [Online]. Available:
http://www.cms.gov/HIPAAGenInfo/
[3] C. M. Yang , H. C. Lin , P. Chang and W. S. Jian, “Taiwan’s perspective on electronic medical records’ security and privacy protection: Lessons learned from HIPAA,”
Comput. Methods Prog. Biol., vol. 82, pp. 277–282, 2006.
[4] “Standards for privacy of individually identifiable health information,” Federal Register, vol. 67, pp. 53181–53273, 2002.
[5] G.M. Stevens, “A brief summary of the medical privacy rule,” CRS Rep. Congr. 2003.
[6] 黃妙慧、張克章(2006),國內醫療機構對病患隱私權的保護:以美國健康保險可 攜性與責任法案為分析,資通安全專論。
[7] W. B. Lee and C. D. Lee, “A Cryptographic Key Management Solution for HIPAA Privacy/Security Regulations,” IEEE Transactions on Information Technology in Biomedicine, vol. 12, no. 1, pp. 34–41, 2008.
[8] Jing Li, Jung-San Lee, and Chin-Chen Chang, “Preserving PHI in compliance with HIPAA privacy/security regulations using cryptographic techniques,” “Proc. of International Conference on Intelligent Information Hiding and Multimedia Signal Processing, pp. 1545–1548, 2008.
[9] Jiankun Hu, Hsiao-Hwa Chen, and Ting-Wei Hou, “A hybrid public key infrastructure solution (HPKI) for HIPAA privacy/security regulations,” Information and communications security, privacy and trust: Standards and Regulations, pp. 274-280, 2010.
[10] Saeed Abu, Nimeh, and Nancy R. Mead, “Privacy Risk Assessment in Privacy Requirements Engineering,” Requirements Engineering and Law(RELAW), Second International Workshop, pp. 17-18, 2009.
[11] Frank E. Ferrante, “Maintaining Security and Privacy of Patient Information,” 28th Annual International Conference of the IEEE Engineering in Medicine and Biology Society, EMBS’06, pp. 4690, 2006.
[12] E. Michael Power, “HIPAA Security Enforcement Is Here,” IEEE Security & Privacy, pp.70– 72, 2008.
[13] 行政院衛生署中央健康保險局, http://www.nhi.gov.tw/.