【官方剖析：衛福部資訊處處長龐一鳴】衛福部揭露電子病歷上雲未來配套，建議醫院上雲前先做3件事

「在這個時代，不開放電子病歷上雲，智慧醫療就很難實現！」衛福部資訊處處長龐一鳴點出電子病歷上雲，不只加速遠距醫療，還可以帶來更多的效益和影響。

他解釋，病歷屬高機敏性資料，也是醫學發展的核心資料，早年受醫療法、醫師法以及後來個資法規定，病歷只能存放於醫院內部，即使後來電子化、電子病歷推行了十餘年，依然沿襲這個傳統。

但是，近幾年新技術崛起，許多國家吹起智慧醫療風，運用雲端技術、大數據分析和AI，發展出各種醫療應用。龐一鳴認為，個人健康資訊屬電子病歷範疇，開放上雲，醫院可用雲端運算、雲端儲存和雲端服務，來創造更核心的醫療AI應用，有助於推動智慧醫療。

甚至，不少智慧醫療設備，採用國外設備，如MRI、達文西手術、ICU病房監控系統等，開放電子病歷上雲，就可以改用遠端維護模式來提高效率，也有助於智慧醫療的發展。

不只智慧醫療，電子病歷上雲還有第三個目的，對許多臺灣基層診所、小醫院而言，向來缺乏IT人力，多購買套裝軟體自設伺服器，但近年健保或防疫政策要求，得配合修改IT系統，委外修改成本很高，也有資安風險，改用醫療SaaS服務模式，也有助於強化基層醫療的資安和整體效益。

特別是，符合歐盟GDPR或美國醫療資料保護法案HIPAA的業者，能提供更嚴格的醫療資料保護，對人力不足的小型醫療院所來說，有助於強化資安體質。龐一鳴強調：「政府要做的，就是監管雲端業者和代管業者。」

明定11項委外契約重點，將公布合格雲端業者白名單來強化監管

過去中小醫院委外最常見的困擾是，出事後的責任歸屬不清。雖然醫療機構電子病歷製作及管理辦法屬於醫療法架構，該法為行政法，雖可約束醫療院所，但無法管轄接受委託的資訊業者。但是，龐一鳴表示，衛福部在這次新版辦法中，更進一步規範了醫療院所與資訊業者的契約簽訂原則，責任歸屬將以醫療院所與業者簽訂的契約而定，他期望以兩者間的民法契約精神，讓醫院可以透過合約關係來要求資訊業者。

比如，該辦法第七條，要求醫院與受託業者須簽訂書面契約，並明訂11項原則，像是委託事項範圍、受託機構的權利義務、落實個資保護和資安防護措施（如傳輸加密機制、安全事故處理機制等）等，來劃定受託的資訊業者工作範圍與責任。

第八條修正條文中，也規範了醫院用雲或受託機構採用雲端服務時須遵守的事項，像是要採取風險管控措施、具備避免醫療業務中斷的措施，還要監督雲端服務業者（自行監督或委託第三方輔助監督），最後，醫院還要備妥一套資料移轉機制，遇到雲端服務中斷或終止時，能將資料轉回醫院或改放到其他雲端服務上。新辦法更明確要求，除特殊情形外，電子病歷所用雲端服務的資料儲存地點必須位於臺灣境內。

不過，另一方面，新版辦法提供了衛福部把關雲端服務業者品質的法源，要提供給醫院使用的雲端服務業者，得先通過中央主管機關認可才行，包括通過資安標準的驗證。

龐一鳴更透露，衛福部未來將公布合格雲端業者白名單，供醫療院所選擇。「將開放業者申請，只要符合資格、具備國際認證，如ISO 27001，就會列入白名單，」他強調，未來衛福部還會視情況調整監理強度，比如進一步納入國際醫療資料交換標準FHIR互通認證、歐盟個資保護法GDPR等。

衛福部資訊處處長龐一鳴指出，開放電子病歷上雲不只是為醫療AI解套，也能強化中小型醫療院所資安體質。攝影／洪政偉

醫院上雲建議：先盤點資料、理解雲端服務模式

在法規鬆綁和官方力推之下，電子病歷開放上雲後，醫院有機會產出更多智慧醫療應用。但這些智慧醫療應用往往涉及大量數據，因此，龐一鳴建議，上雲前，醫院可以先做好3件事。

首先，醫院可以設立獨立的資料長或數據長（CDO）角色，來統管全院資料治理。而且，「不只是病歷資料，」龐一鳴強調，就連監視器資料、員工資料等也要盤點，釐清資料量、資料形式、資料來源和存放處、資料可用性，以及這些資料分別得遵循哪些法規。

他強調，醫療屬高度專業產業，一家醫院聚集了許多高專業度的科別，各自每日產出大量多元的數據，供其所需。但對整家醫院來說，要發展大數據應用，就得有個獨立的資料長，將這些四處散落的資料統整，盤點資料屬性後，才有助於規畫後續應用。

完成資料盤點後，接下來，上雲前的第二件事是了解不同雲端服務模式的特性，不只SaaS、PaaS、IaaS或其他類型的雲端服務，都得有一番認識，醫院才能根據自身需求尋找合適服務。

最後一件事是，醫院得深入了解雲端業者，評估不同業者的服務模式可靠性、相關認證，依照新版辦法條文的注意事項來衡量業者能力，得涵蓋第三條管理機制的項目，包括標準作業、權限管控、緊急應變、系統安全、傳輸加密、安全事故處理等機制，才決定是否簽約。

衛福部角色將從EEC維運者轉為標準維護者

新版辦法還有條條文，允許公私立機構設置電子病歷交換平臺，來增加交換便利性。但龐一鳴認為，交換病歷更重要的一步是要有共通標準，才能更容易實現以病人為中心的照護。

這也是他力推衛福部角色轉換的原因。去年，他公開表示，衛福部資訊處維運電子病歷交換中心EEC長年來，只公布4張電子病歷交換表單，「醫療院所在實際交換的情境下，使用率非常低。」他分析，原因之一是原有的交換標準CDA難以執行，「既然國際HL7已發展至FHIR，國內CDA架構是否也該改為FHIR？」他希望將EEC升級為FHIR交換中心。

電子病歷是醫院和多個政府單位最常交換的資料，這些政府單位包括EEC、健保署、國健署、疾管署、地方衛生所等。但，這些單位的系統彼此不互通，醫療機構得針對不同單位，採用不同交換標準，並配合不同網路工具來執行交換作業。甚至，健保署還會針對不同專案，開設專屬API搭配VPN讓醫療院所傳輸資料之用。醫院要對接的客製化API越多，維護複雜度越高，也會帶來越高的資安風險。

因此，龐一鳴認為，要是能先將EEC交換平臺改為FHIR交換平臺，採用主流的國際醫療資料交換標準HL7 FHIR，就能簡化交換流程，不必一對一客製化介接，也能簡化醫院需使用的網路工具，減少資安破口出現。

他希望推動衛福部帶頭使用FHIR，並將衛福部角色，從過去的EEC維運者，轉換為標準維護者，來維護電子病歷交換標準，並制定不同電子病歷使用情境的交換規格與各類情境表單。同時，衛福部也要擔任情境的協調者，協助解決醫療機構間的資料交換問題。

龐一鳴期望，除了EEC和健保VPN，醫院之間也能發展更多電子病歷交換平臺，呼應到新版辦法的第18條。甚至，未來若採用FHIR架構，各醫療機構只需決定交換情境即可，可使用自有平臺或衛福部提供的公用交換平臺，來提供更便利的醫療服務。

 相關報導