國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第3章
系統設計與架構
本章節會說明應用剖面技術的系統框架中的設計與架構,解釋如何在現有的醫療資訊 系統中,加入尊重病人隱私權的設計。3.1 小節會說明設計理念以及提議的隱私權框 架,3.2 小節會介紹行動目的管理員 (Action Purpose Manager) 設計。3.3 小節則是病 人偏好管理員 (Patient Preferences Manager),最後 3.4 小節是有關病人隱私剖面 (Aspect) 的設計。
3.1 設計理念
目前在一般的企業應用程式中,採用適當的存取控管 (Access Control) 機制以保障使 用者資料是必須的作法;同樣的,在大多數醫療資訊系統 (Healthcare Information System) 中,使用相同機制保護病人的電子病歷也是普遍接受的準則 [24][25]。然而,
現有的存取控管機制很少把病人對自身隱私資料的不同需求或是偏好納入考量。事實 上,現有的存取控制機制通常只處理了「什麼角色的人員是否能存取資料」這類的簡單 規則而已,圖 3-1 是傳統存取控制機制運作的圖示。
圖 3-1 傳統的存取控制機制
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
然而如果要尊重病人隱私權偏好,就必須將「什麼角色的人員能夠存取哪些病人的隱私 資料」,以及「那些資料是因為什麼樣的目的允許被使用」,這些複雜的問題都納入系 統的設計之中,因此隱私權保護遠超出傳統存取控制機制所能處理的範疇,圖 3-2 是 我們希望建立的權限控管機制圖示。最近的存取控管機制的趨勢是,是否允許存取或 是使用任何隱私資料的判斷應該依照使用資料的目的來決定 [26]。舉例來說,醫生在 看診或是提供醫療服務的情況下,就可以存取病人資料,但是為了研究目的或是推廣 健康食品的話,該存取請求就會被拒絕。此外,系統應該要考慮到病人的隱私偏好,
因為每個人對其個人識別資訊 (Personally identifiable information) [27] 能在什麼情況下 被那些人存取使用會有不同的看法。換句話說,決定是否允許存取病人的個人識別資 訊應該要將上述的因素都列入判斷:也就是說,不只是看個人隱私資料的內容和使用 目的,更要根據不同病人的偏好來決定。
圖 3-2 理想的存取控制機制
把病人隱私偏好加進系統之後,還必須考慮在遇到特殊情況的時候,能夠在病人的生 命安全和尊重隱私之間取得適當的平衡。尤其在緊急情況下,主治醫師需要能夠選擇
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為了解決上述提到的問題,本研究利用剖面導向的技術來開發支援病人隱私偏好的系 統框架。實作的系統框架包括三個主要部份,即行動目的管理員 (Action Purpose Manager) 、 病 人 隱 私 剖 面 (Aspect) , 以 及 病 人 偏 好 管 理 員 (Patient Preferences Manager)。圖 3-3 顯示該系統框架的架構,並強調系統框架和底層存取控制系統的互 動。本論文實作了一個簡單的 Java 網頁應用程式 (Web Application) 來展示該系統框 架,因此只要是使用 Java 開發的網頁應用程式都可以適用。接下來的小節會介紹行動 目的管理員、病人隱私剖面,以及病人偏好管理員是如何協同合作,以提供加入隱私 權考量的存取控制機制。
圖 3-3 應用剖面技術支援病人隱私偏好的系統框架
‧
的存取控管機制 (Access Control System) 中有政策執行點 (Policy enforcement point, PEP) 與政策決策點 (Policy decision point, PDP),而所有針對病人隱私資料存取的請求 都將被政策執行點攔截,並且傳送到政策決策點進行檢查,因此利用政策決策點當作 是意見 (advice) 織入 (weaving) 的連接點 (join point),病人隱私剖面 (Aspect) 會透 過政策決策點和存取控管機制溝通,詳見圖 3-4。如果在現行系統中沒有統一的存取 控管模組,還是可以根據實際系統架構來找出適用的連接點 (pointcut),例如找出共同 實作的介面 (interface) 等。該剖面主要是用來監控政策決策點的決定,並接著執行有 關病人偏好的檢查和稽核,如果政策決策點同意存取請求的話,病人隱私剖面會跟行 相關的程式碼,幾乎不需要去改變任何既存的程式碼。這種鬆散耦合 (Loose Coupling)‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
的設計是此系統框架最顯著的特點。
圖 3-4 政策執行點、政策決策點跟病人隱私剖面溝通
加入的病人隱私剖面還提供了另外一個好處,就是讓系統在顯示病人可識別資訊的時 候達到更細緻的控管機制。在目前大多數醫療資訊系統的存取控制機制中,如果要針 對使用者是否有權限存取該筆資料進行判斷,一般都只能回傳允許或是拒絕存取而 已。然而,在病人隱私剖面中可以更進一步的先過濾資料之後再回傳;舉例來說,有 些使用者或許因業務需要必須存取病人的病歷紀錄,但是他們又不應該看到隱私資訊 的欄位,這時候系統就可以在病人隱私剖面中把那些欄位的隱私資訊改掉,再把過濾 後的病歷紀錄回傳給使用者。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
3.3 行動目的管理員
為了讓圖 3-3 的系統框架能有效地運作,病人隱私剖面 (Aspect) 必須取得存取病人隱 私資料請求的使用目的,以及病人同意能夠存取資料的目的。由於這些都是新增到醫 療資訊系統中,因此需要增加兩個新的元件來處理,第一個就是 3.3 小節要介紹的行 動目的管理員 (Action Purpose Manager),請參考圖 3-5;處理病人隱私偏好的模組將 在 3.4 小節提到。當系統中有任何使用者對病人病歷紀錄進行存取的時候,病人隱私 剖面就會向行動目的管理員要求該存取動作的目的為何,例如這個存取請求是為了提 供醫療服務或是學術研究目的。行動目的管理員是全域性的物件,會在資料庫中紀錄 所有行動和目的對應,當接到查詢請求的時候就會到資料庫中找出符合該存取請求的 目的,然後回傳給病人隱私剖面,以便判斷是否可以允取該請求。
圖 3- 5 行動目的管理員跟病人隱私剖面