強化醫療資訊權利保護

第三章以 HFMEA 檢視現行醫療資訊隱私保護

第三節強化醫療資訊權利保護

依據 HFMEA 的分析，在資料蒐集、處理以及利用的流程中可能

發生侵害資訊權利的失效模式中，可歸納出主要是安全措施規範無一定標準(佔 53.3%)，說明同意及授權的不明確(佔 36.9%)，以及健保資料庫利用的問題(佔 9.5%)等三大類。

第一項安全措施

依據「個人資料保護法」第 6 條、第 18 條及第 27 條規定，無論公務機關或非公務機關需有適當之安全措施，而此安全措施係指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，

問題類型

安全管理措施

授權管理

登入管理

資料庫與傳輸安全

授權同意

健保資料庫

醫療行為

研究

遠距照護

健保資料庫使用

去辨識

目的明確性

圖七：問題類型分析

採取技術上及組織上之措施⁹⁹。安全措施之內容規定於「個人資料保護法施行細則」第 12 條，包含有：(1)配置管理之人員及相當資源；

(2)界定個人資料之範圍；(3)個人資料之風險評估及管理機制。(4)事故之預防、通報及應變機制；(5)個人資料蒐集、處理及利用之內部管理程序；(6)資料安全管理及人員管理；(7)認知宣導及教育訓練；(8) 設備安全管理；(9)資料安全稽核機制；(10)使用紀錄、軌跡資料及證據保存；(11)個人資料安全維護之整體持續改善。共計有 11 款的安全管理項目。而表列之措施，可以與所欲達成之個人資料保護目的間具有適當比例為原則。

在安全管理措施中最重要的是存取控制，在醫療機構內存取過程中容易發生病人病歷資料隱私權侵害之可能。資訊持有者對於機構內資訊存取的管理措施，主要在於資訊存取流程中，對於接觸資訊之人員所作之身分授權、存取範圍之授權、使用資訊時間或地點之授權等安全機制。此外，資訊正確性與即時更新也是減少醫療失誤的要素。

如何落實維持資訊安全管理義務之資料機密性、可用性與完整性，

加強外部管制與內部管理，將於第四章討論。

第二項授權同意

分析結果中因為說明同意的相關問題，例如事後同意、未取得當事人同意、同意形式未能符合法規要求、授權同意的範圍或時期不明確等問題最多。

醫療行為的過程為一互動、持續性的動態活動，在醫療資訊的蒐集上往往無法先行確認所需資料之範圍，只能採用概括同意甚至事後同意的方式滿足形式上之授權同意，甚至在診療過程中醫師僅僅在表示「我查一下你先前的紀錄」後，只要病患未立即表示拒絕即會進行資料查詢，更遑論先進行說明再取得書面同意。

就查詢範圍而言，在美國醫療資訊「安全規則」中，關於因醫療照護所需的資料，並不需要遵守「最小必要原則」；因此，於病人就醫時，進入資料庫讀取資料的範圍可以依醫療人員之需要而取得。我國「個人資料保護法」是統一立法，對於進行醫療行為時所需之資料蒐集並無特別規定，現行法規是否適合醫療行為進行之需要，是否能

99 參閱「個人資料保護法施行細則」第 12 條

兼顧醫療行為所必需的資訊蒐集以滿足醫療品質與正確性，並能符合病患對於隱私權與自主權的期待，此部分將在第五章進行討論。

第三項健保資料庫使用

現行健保資料庫之設置有財團法人國家衛生研究院的「全民健康保險研究資料庫」，以及衛生福利部「健康資料加值應用協作中心」。健保資料庫使用之最大爭議點在於這些特種資料蒐集目的的明確性與必要性，是否符合明確性原則與比例原則，以及資料利用是否合於蒐集之特定目的，此外資料庫內容提供給第三者之法源依據何在。此爭議也有人民團體提出訴訟¹⁰⁰，藉以凸顯隱私權與自主權。

健保資料庫之使用有其必要性，並符合增進公共利益與資料活用之目的。但就適法性而言，詳列資料使用的目的內容，若過度適用目的外使用，為立法上的問題，為減少爭議，必須立法明確化。因此，

在目的外使用時須注意的適法性規定，事先之說明同意，或是去辨識使資料成為數據，將自主權作合憲之限制以達公共利益，且能兼顧隱私權。

我國實施全民健保後，龐大的健保資料內含國民完整的健康資料、

疾病、治療等重要且敏感的資訊。行政機關持有此等資料時，當善盡管理之職責並善用此資料庫，將資料處理過程以及運用資料的方式公開、透明化，減少民眾對於公務機關的疑慮，並透過加強安全管理措施提升民眾的信心。針對這些問題，將於第六章進行討論。

100 參閱臺北高等行政法院 102 年度訴字第 36 號

第四章強化醫療資訊隱私權利保護(一)

—標準化與資訊安全

第一節自律與他律

對於醫療資訊之保護有賴於機構對於資訊安全風險管理的落實與政府的高密度法規管制。由第三章結論可知，影響隱私權的失效模式中，安全性管理問題所佔比例最高達 53.3%，由此可知安全管理措施之重要性。而落實安全性管理，除了資料持有管理者須善盡機構本身的企業責任，更需要仰賴法規作外部的規範指引，自律與他律缺一不可。

第一項問題分析

在安全管理措施的問題中，依據失效原因的性質再予以類別化，

發現以授權相關的管理問題，如人員資格管理、資料範圍管理等與內部授權相關之授權管理問題最多，約占三成；其次；是資訊系統登入管理問題，約占兩成；查核與資料庫安全防駭或傳輸安全保護問題各占一成；可辨識資料去連結的問題占 7.5%，而其他資料正確性或完整性維持約占 5%。此外有 16.8%為系統登入安全管理問題例如雲端藥歷查詢(如圖十)，因此類問題本質為授權同意問題，將併於第五章討論。

圖八：安全措施問題之類別

授權問題所涉及的是資訊安全金三角中的機密性問題，包括內部人員可能接觸個人資料時，機構如何進行個別授權的行政保障，對於機構內部授權或是當事人之外部授權如何進行安全查核、如何確保依授權目的、範圍或時限處理利用個人資料的科技保障。至於資訊系統登入方式、資料庫或網路安全也是資安機密性問題，需仰賴科技保障。

資料更新、毀損或刪除則是資安完整性與可用性問題，在於機構資訊安全管理系統是否建立流程，是否有風險管理及措施。而去辨識問題，

則涉及機密性與可用性問題。

雖然前述問題多屬機構內部管理，但若是法規未對機構做出適當、

明確的規範，將難以落實資訊安全管理。關於安全管理措施，在我國

「個人資料保護法」中要求無論是公務機關或非公務機關均須實施安全管理，但施行細則中對於安全措施的要求僅作例示參考，欠缺系統性與完整性的安全建置規定，對於資訊安全管理似乎略為不足。而且對於未實施安全管理措施，僅在第 48 條對非公務機關有罰鍰之規定，

但對公務機關則無相關處罰之規定，僅僅在造成當事人隱私侵害時方有賠償責任，如此將大大削弱機構對於設置安全管理措施的強制力，

而間接弱化資訊保護之目的。

第二項他律—安全措施之法規要求

2010 年我國制定「個人資料保護法」並於 2012 年施行，該法對於公務機關或非公務機關於資料保管上均訂有安全措施之規定¹⁰¹。法務部於 2012 年依據該法第 55 條之授權訂定施行細則。關於安全措施之內容，該細則第 12 條第 2 項列出 11 款的內容提供機構參考，各款之內容乃是基於與國際接軌並以 P-D-C-A 方法論建立¹⁰²。

本文認為該條文內容確實將資訊安全國際標準的精神與概念納入，但細究其內容僅僅是將國際標準規範之條文標題寫入，恐空有資訊保護之殼，但缺少實質提高資訊保護之效果。其一、該條文所云「所欲達成之保護目的間，得包括下列事項」，條文中所指之所欲達成保護目的，是誰所欲？如果是國家所欲達到之資訊保護目的，則於母法中應有明確標準，如以「個人資料保護法」觀之，保護之目的應是第 1 條所提之「避免人格權受侵害」，但此目的又過於空泛，難以讓蒐集

101 關於安全措施之規定，如「個人資料保護法」第 6 條第 1 項第 2 款所稱適當安全維護措施、

第 18 條所稱安全維護事項、第 27 條第 1 項所稱適當之安全措施。

102 參閱「個人資料保護法施行細則」第 12 條立法理由

處理或利用醫療資訊的機構能有所依循。若該目的所指，並非是國家之資訊保護目的而是機構之資訊保護之目的，則個人資料保護目標將不一致，目的強度不同也將影響維護資訊安全必要之措施設置。其二、

安全措施應有必須符合與得符合之差別，才能使資訊安全得到有一定之保障以符合保護之目的；例如第 2 款「界定個人資料之範圍」應由法規命令明定之，而非由機構自行界定，機構所需做的是依循法規命令進行所持有資料的清查盤點，是否讓該資料列入保護之範圍；而第 4 款「事故之預防、通報及應變機制」涉及損害發生後之減少傷害，

第 10 款「使用紀錄、軌跡資料及證據保存」涉及證據保全與責任認定問題，此兩款規定應列入必要之措施，不應僅僅是「得包括」；而第 9 款之資料安全稽核機制，應要求包括外部稽核，以確認資訊安全管理系統運作之無虞。此外，該項各款之規定僅為「使各企業得參考所列之 11 款內容，考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上與組織上之措施。」，而非明確規定機關組織應建構的安全措施¹⁰³。「個人資料保護法施行細則」，其法律位階屬於授權命令，依大法官會議釋字 367 號解釋之標準，授權命令應就執行法律有關之細節性、技術性之事項訂定，但不可逾越母法規定之限度內。

在文檔中以HFMEA檢視醫療資訊保護之法制 (頁 83-0)

第三章 以 HFMEA 檢視現行醫療資訊隱私保護

第三節 強化醫療資訊權利保護