衛生福利部資訊處處長龐一鳴 (攝影/洪政偉)

根據美國最大資安公司去年調查,美國四分之一的資安受害者就是醫療業。」行政院衛生福利部資訊處處長龐一鳴表情嚴肅地指出,早期資安事件受害者多為金融業,但近來隨著醫療業數位化、連網設備不斷增加,使醫療業成為駭客新目標。他表示,醫療業務中斷會造成重大影響,而且醫療院所握有大量機密資料,極易成為勒索對象,比如英國國家醫療系統(NHS)遭受勒索軟體Wannacry攻擊而癱瘓,或是新加坡醫療體系(SingHealth)遭駭,150萬人個資遭竊。

行政院2年前推行國家資通安全發展方案,為配合國家政策,衛福部資訊處自去年起推動醫療資安計畫,其中一項,就是與資安專案辦公室一起執行的醫療資安聯防機制。

龐一鳴表示,過去,醫療院所為了鞏固資安,紛紛導入ISO 27001標準認證,來保護電子病歷和作業系統,「這是自我防護的基礎。」而今年元旦資通安全法(簡稱資安法)上路之後,要求建立資安聯防機制,透過情資共享,來抵禦外來威脅。「聯防機制補足了醫療院所的自我防護基礎,」龐一鳴表示。

這個醫療資安聯防機制,是由通報機制、緊急應變機制、監控機制3者構成,而衛福部首先鎖定臺灣64家列入國家關鍵基礎設施(CI)的醫院。這些醫院需主動將自家資安資訊發布到分析中心(H-ISAC),與其他醫療院所和國家資安資訊分享與分析中心(N-ISAC)分享和交換情資。

這些情資,除了來自IT系統的威脅情資和漏洞資訊外,還納入連網醫療儀器,比如除顫器、麻醉器和呼吸器等醫院日常營運的設備,也就是OT(Operational Technology)設備。甚至,衛福部去年還劃定出17種關鍵的連網醫療OT設備,並規畫一套資安風險評估方法,要求醫院訂出各OT儀器風險,納入評鑑。

醫療資安聯防計畫進行1年多了,衛福部去年已完成H-ISAC、情資及弱點資料庫、關鍵基礎設施盤點與風險評估系統的建置,目前也有42家CI醫院加入H-ISAC平臺。

「但最大的挑戰,是建立信任機制。」龐一鳴坦言,H-ISAC目標在於情資分享,「大家願意分享,才有聯防的價值,」因此,如何讓CI會員信任平臺、卸除家醜不外揚的心態來分享情資,就是現階段的關卡。為此,他四處與醫院高層主管溝通,除了強調聯防優勢,也宣導醫療OT儀器的重要性,希望由上而下推動;「臺灣有許多優秀的資安人才與技術,唯有達成共識、打通觀念,才能發揮技術優勢。」

除了建立信任,「聯防機制今年目標,是納入其餘22家CI醫院。」他表示,衛福部甚至鼓勵非CI醫院加入聯防,不只如此,今年還要建置緊急應變小組(H-CERT),明年則進一步建置資安監控中心(H-SOC),讓整個聯防機制更完備。除此之外,衛福部也計畫對CI會員醫院進行資安演習,並為醫療資訊技術人員和管理人員,分別開設資安訓練課程。

持續推動健康雲2.0和提高電子病歷利用性

不只醫療資安政策是當務之急,健康雲2.0計畫也是衛福部的工作重點。這項計畫以健康雲為基礎,分為醫療雲、照護雲、保健雲、防疫雲等4朵雲,分別由衛福部資訊處與全民健保署、國民健保署、護理及健康照護司、疾病管制署來負責。

醫療雲以6年前建置的健保雲端藥歷系統為基石,首先讓醫師能夠查詢病人的用藥處方紀錄,避免重複開藥或重複檢查。後來,衛福部將其升級為健保雲端查詢系統,擴大到可查詢12項病人就醫資訊紀錄,像是牙科處置和手術紀錄、過敏藥物紀錄、復健醫療紀錄和疾管署預防接種紀錄等。去年,更加入了醫療影像上傳和調閱的互享機制,讓醫師能夠查詢電腦斷層掃描(CT)、核磁共振造影(MRI)、超音波、X光片和腸胃鏡等影像資料,不只病人不需重複檢驗,還可至同級醫院尋求第二意見或後續治療。

醫療雲的另一個成果,就是電子病歷的互通。龐一鳴指出,狹義的電子病歷,是指附上電子簽章的醫療資料,而衛福部自2010年開始制定電子病歷交換格式,隔年成立交換中心,做到了跨院所互相調閱電子病歷。

但他認為,衛福部的電子病歷策略,有2大方向待下功夫。首先,衛福部應根據不同使用場景,來提供多元的電子病歷互通平臺。他舉例,比如家庭醫生決定將病患轉診至大醫院,可以信賴方式互通電子病歷,「不須簽章也可以。」

再來則是簡化醫療行政程序,因為目前醫療業最常使用的健保系統和電子病歷系統,還未能互通所有資訊。龐一鳴以健保雲端藥歷為例,醫生只要讀取健保卡資料,就能知道病患的藥物處方紀錄,但「這是透過健保系統來傳輸,不是透過電子病歷。」也就是說,要記錄這份資料,醫生必須將同一份資料輸入至2個系統,一個供健保雲端查詢,一個供電子病歷使用。他認為,資料應只在單一系統輸入即可,如此一來,「處理速度更快,也更省資源。」

除了醫療雲要進入新的階段,他也揭露,衛福部近來建置的長照雲,今年下半年將產出成果,包括完成特約機構與人員管理系統、長照個案管理系統和行動版評估工具、長照費用審核和撥付款推廣等。未來,衛福部也計畫整合各類長照資訊系統、建置長照資料倉儲,推出長照個人數位服務,並透過長照諮詢專線1966所累積的資料,來開發AI聊天機器人,提供更多諮詢管道。

社會安全網的啟發:做好資料治理,為未來AI應用鋪路

衛生福利部資訊處處長龐一鳴指出,醫療資安聯防的優勢在於情資共享,但最大的挑戰在於信任,「大家願意分享,才有聯防的價值。」 (攝影/洪政偉)

提到衛福部,各界最關心的莫過於電子病歷、智慧醫療。但龐一鳴認為,這些領域已著墨許久,政府也奠下足夠的資料交換標準和平臺基礎。在他眼中,政府該建置的基礎設施,「還要用在民眾很關心,但業者沒興趣的領域上。」他解釋,如家暴預防系統,「這是衛福部正在推行的社會安全網計畫一環。」

社會安全網是衛福部去年開始執行的社會福利計畫,目的是要整合跨領域資源和資料,像是社工、教育、警政、司法和醫療等,利用大數據分析技術來找出高風險家庭,進而預防家暴、性侵害等悲劇,來保護兒少、身障者與老人等弱勢族群。龐一鳴舉例,去年總統盃黑客松競賽中獲得卓越獎的「永不回頭」團隊,就是一個嘗試。

永不回頭團隊由雙北市家庭暴力防治中心組成,透過與資料英雄計畫D4SG的資料科學家合作,整合了衛福部保護資訊系統的資料,利用機器學習打造出以家庭為中心的風險預警管理系統,來降低兒少再度受虐的風險,同時提升社工派案效率。

但這個嘗試,讓衛福部資訊處意識到資料治理的重要性。「我們鼓勵同仁參加社會安全大數據應用競賽,參加後才發現資料治理沒做好,系統交換性不夠好。」龐一鳴更拋出一個問題,「比如永不回頭團隊,為何選擇雙北市?因為這樣資料量才夠大。」他解釋,不像全國統一的集中式健保資料庫,社政資料分散於不同單位,要發展社政大數據應用,「只能打城市盃,」對於人口較少的縣市來說,要開發這類應用又更難了。

「衛福部要先做好資料治理,才能發展AI應用。」他今年的任務,就是要完成社政資料治理、建置社政大數據環境,「讓城市盃變成國家盃,」將資料應用規模可擴大到全國。此外,他也以Open Data和My Data的進展作為資料治理2個衡量指標。龐一鳴解釋,如果有能力將資料有系統地開放出來,或是進一步打造出以民為本的個人化數位政府服務,「這就表示資料治理成功了。」

除了資料治理,龐一鳴還給自己一個任務:與相關單位、社政長官和專家學者溝通大數據應用方式與場景。他指出,社政屬人文學科,重視質性研究,但其方法學對大數據應用的涉略不深,「因此需要溝通、理解,」才能探索應用可能性。

此外,另一個需要溝通的重點是「資料標準」。龐一鳴說,「健保和電子病歷之所以成功,是因為先訂定標準,才開發系統。」但社會安全網的情況卻恰恰相反:系統早已存在於不同單位,卻沒有統一的資料標準。因此,要將現行的資料規格統一,「就像穿著衣服改衣服,需要與所有使用者溝通。」

為了建置社會安全網的環境,衛福部也透過國家發展委員會的資訊資源向上集中政策(也就是推動資訊服務雲端化、共用化與資料開放),來建置雲端機房。龐一鳴表示,雲端機房建立後,原先分散於各系統的資料,就能透過系統轉換上傳至雲端,提高資料可用性。

配合國家政策,為數位身分證結合健保卡做準備

隨著政府宣布明年將推出數位身分證(eID)後,衛福部與資訊處人員也加入了內政部eID推動小組,來評估健保卡功能是否也能融入數位身分證中。

龐一鳴指出,要將數位身分證結合健保卡功能,還需要考量幾個面向。首先,兩者的發放做法不同,身分證為申請制,年滿14歲可向政府申請,但健保卡偏向強制發給,一出生即可申辦。

其次,兩者卡片上儲存的資料內容不同。健保卡在卡片內記錄了不少資料,但數位身分證只收集個人基本資料,若要結合健保卡功能,就必須建置雲端架構,將其餘健保資料上傳至雲端。

龐一鳴指出,雖然改用雲端能加速卡片讀寫速度,但卻有依賴網路的缺點。也因此,「政府要設想各種情境,」並制訂完善的備援機制,才能減少未來使用者的困擾。

此外,衛福部也密切與eID推動小組討論,評估是否能將醫事人員憑證的功能也納入數位身分證中,方便醫事人員執行電子病歷的簽章作業。

  CIO小檔案  

衛生福利部資訊處處長龐一鳴

學歷:臺灣大學公共衛生研究所畢業

經歷:1996年進入中央健保局醫管處,擔任支付標準科科長,3年後轉至健保局醫審小組,執行審查計畫工作,之後陸續於健保局擔任醫管處秘書、醫審暨藥材小組副主任,也分別於中央健保署南區業務組和醫務管理組擔任組長。2017年進入衛生福利部,擔任資訊處處長。

  機關檔案  

衛生福利部

● 地址:臺北市南港區忠孝東路6段488號

● 成立時間:1928年成立內政部衛生司,經十次改組於2013年升格為衛生福利部

● 主要業務:整合社會福利及衛生醫療資源,針對福利服務輸送、關懷弱勢、醫療照護、全民健保、健康促進、疫病防治、食品藥物管理等議題,來擬定整合連續性之公共政策。

● 員工數:約1萬2千人

● 部長:陳時中

  資訊部門檔案  

● 資訊部門主管職稱:資訊處處長

● 資訊部門主管姓名:龐一鳴

● 直屬主管:陳時中

● 資訊部門人數:24人

● 資訊部門分工:共4科,包括基礎設施及資訊安全、共用性資訊系統及服務、公衛醫療資訊系統、社會行政資訊系統

  機關大事記  

● 1988年:建立全國醫療資訊網(HIN)計畫

● 1989年:推動醫療資訊標準化

● 1995年:全民健保開辦,鼓勵電子媒體申請

● 2004年:全民健保IC卡建置

● 2008年:推動電子病歷計畫

● 2012年:辦理健康雲計畫,分為醫療雲、照護雲、保健雲和防疫雲

● 2013年:持續辦理醫院電子病歷和互通補助計畫,加速電子病歷互通;建置健保雲端藥歷系統

● 2015年:建置健保醫療資訊雲端查詢系統

● 2017年:推動醫療雲2.0計畫

● 2018年:建置醫療資安資訊分享和分析中心(H-ISAC)


Advertisement

更多 iThome相關內容