醫療IT將有兩大變革！衛福部宣布電子病歷交換中心要改為FHIR架構，還要送草案讓電子病歷上雲

衛福部資訊處處長龐一鳴日前在臺灣資安大會上，宣布要將電子病歷交換中心（EEC）架構改為FHIR交換架構，以符合國際醫療資料交換標準，此外，衛福部還要放寬電子病歷存取權，將允許醫療機構將電子病歷上雲代管。目前衛福部正修改法規，接下來要公開草案、徵詢外部意見。

文/王若樸 | 2021-05-08發表

衛福部資訊處處長龐一鳴表示，衛福部計畫將電子病歷交換中心（EEC）架構改為國際醫療資料交換標準FHIR，他將這種以FHIR格式交換的電子病歷，稱為新世代電子病歷，由4大元素組成。

為強化醫療資安體質，衛福部資訊處處長龐一鳴6日在臺灣資安大會上重磅宣布，衛福部要擁抱HL7國際醫療資料交換標準FHIR，將電子病歷交換中心EEC改為FHIR交換中心，來降低眾多接口產生的資安風險；此外，衛福部也要放寬電子病歷存取權，將允許醫療機構上雲代管，目前正修改法規，接下來要公開草案、徵詢外部意見。衛福部希望藉這些做法，強化醫療資安防護基礎，一方面也希望臺灣醫療資料與國際接軌，要讓國內醫資廠商用符合國際標準的產品，出國「打國際盃」。

從公共衛生看醫療資安，得先養好體質才能預防資安事件

公共衛生出身的龐一鳴指出，醫療資安有如公衛和預防醫學的三段五級策略，公衛中的三段是指人生病的三階段，從無症狀或易感染狀態，到臨床病徵出現，再到傷殘或死亡的階段。這三階段對應到醫療資安，就是無症狀或被刺探狀態；出現弱點、發生資安事件；以及資料遺失、橫向擴散和系統癱瘓。

面對發病過程，公衛有5種策略來應對，像是促進健康、特殊防護、早期診斷早期治療、限制殘障和減少死亡，以及最後的復健。「醫療資安也是如此」，龐一鳴舉例，醫療機構平時就應養成健全體質、蒐集情資來預防事件，並定期進行弱點掃描、做好特殊防護，再來才是資安健檢、加入監控機制（SOC）即時修補問題，達到早期診斷早期治療的效果。

要是發生資安事件，醫療機構也要透過通報應變機制（如ISAC、CERT），來降低資安事件帶來的衝擊。最後一步，則是事件後的復原鑑定。（如下圖）

在這5種做法中，過去，衛福部已在資安事件處理有所著墨，包括近幾年建置的醫療資安情資分享與分析平臺H-ISAC，讓關鍵基礎設施醫院（CI醫院）加入，透過緊急應變處理（CERT）和聯合監控（SOC）等機制，來鞏固醫療資安聯防。

現在，龐一鳴則回過頭聚焦5級策略中的第1級，要培養好所有醫療機構的資安體質，來降低事件發生的可能。「醫院養好體質，可避免未來可能遇到的資安問題，」他比喻，就像這次疫情期間，民眾落實戴口罩，不只防疫，也防止其他耳鼻喉科相關疾病，連健保數據都顯示去年相關門診就醫次數大幅下降。

養體質第一招：電子病歷交換中心EEC改為FHIR架構

同理，為防止病從口入，衛福部打算將醫療院所的「口」防好，也就是簡化電子病歷的交換架構。龐一鳴指出，電子病歷是醫療機構和政府單位最常交換的資料，這些單位包括健保署、國健署、EEC、疾管署、地方衛生所等，由於這些單位彼此不互通，醫療機構得針對不同單位，採用不同交換標準，並配合不同網路工具來執行。

過去，健保署多年來每每針對不同專案，開設專屬VPN來建立加密的資料交換環境，來給醫療院所使用。然而VPN一多，就容易產生資安風險。

因此，龐一鳴認為，要是能先將EEC交換平臺改為FHIR交換平臺，採用主流的國際醫療資料交換標準HL7 FHIR，就能簡化交換流程，不必一對一客製化介接，連帶簡化醫院需使用的網路工具，減少破口出現。他希望，藉由衛福部EEC率先改用FHIR，帶動其他單位擁抱FHIR，跟上國際趨勢、進一步簡化資料交換工作。（如下圖）

他將這種以FHIR格式交換的電子病歷，稱為新世代電子病歷，並由4大要素來推動。首先是資料標準，也就是要將新舊標準平行轉移，讓EEC先採用FHIR、健保署仍採用舊標準，爾後再調整；同時，龐一鳴也要藉此將衛福部內的資料交換，改以電子病歷為單位。（如下圖）

第2要素是連結跨部會資源，透過經濟部補助一年一度的臺灣FHIR聯測，來推動FHIR普及，同時也要協同經濟部輔導廠商的FHIR產品服務等。

再來是透過產官學合作，來發展醫療機構所需的FHIR資料格式轉換工具，以及培育FHIR人才資源。最後則是新世代電子病歷的交換應用，比如發展交換平臺，來試做疫苗護照等應用。

疫苗護照FHIR新機遇，未來還能推廠商打國際盃

龐一鳴坦言，疫苗護照是衛福部擁抱FHIR的另一個契機。目前，WHO、歐盟和世界多國都已倡議推行疫苗護照，要讓民眾透過App，出示自己在該國接種疫苗的證明，來加速出入境和進出特定場所的身分檢查。而這款App，就需要與該國衛生部門資料串接，而他們用來串接接種資料的交換標準，「就是FHIR。」

對臺灣來說，要加入國際疫苗護照行列，就得用FHIR來串接電子病歷中的疫苗接種紀錄。但龐一鳴指出，過去以來，臺灣醫療院所電子病歷交換的主要對象，一直是健保署，因此交換架構是臺灣健保署專用，而非國際通用。於是，要與國際串接資料，臺灣勢必得採用FHIR。

他認為，疫苗護照是臺灣練兵FHIR的大好機會，也能順勢將「國際標準轉化為國內標準。」他期望臺灣趁這次機會實現3個目標，也就是做好FHIR疫苗護照，再來是醫療機構採用FHIR國際標準，讓國內醫學研究更容易與國外互通，最後是臺灣醫資廠商大規模採用FHIR，讓自家產品不再只是臺灣標準，而是遵循放諸四海皆準的國際標準，如此才能「打國際盃。」

龐一鳴指出，這項計畫也已知會衛福部部長陳時中和數位政委唐鳳，盼能落實。

養體質第二招：允許電子病歷上雲託管，放寬存取權

接下來，衛福部養好醫院資安體質的第二招，是要放寬電子病歷存取權，允許電子病歷上雲代管，再由政府監督雲端業者和代管業者。這是因為，對臺灣眾多的專業小型醫療院所來說，管理醫療相關資料十分耗力，委外處理要是出事了，廠商不負法律責任，「導致小診所苦不堪言。」

為解決這個問題，衛福部擬定草案，要開放電子病歷上雲、交由第三方代管。龐一鳴指出，許多雲端業者的醫療資料處理服務，既符合歐盟最嚴格個資法GDPR，也符合美國主流的醫療資料保護法案HIPAA，更遵從國際標準FHIR，對人力不足的小型醫療院所來說，就會是個解方。而政府要做的，就是監管雲端業者和代管業者，多一道把關。

衛福部要開放電子病歷上雲，還有另一個用意。龐一鳴表示，由於長年法規規定，電子病歷只能存放在醫院中，導致醫院用雲相對落後。「但現在是上雲時代，醫院不用雲，大部分醫療AI幾乎不能用，」而開放上雲，就能促進醫療院所對AI的採用。

目前，這套上雲草案已完成內部意見整合，最近將公開草案、徵詢外部意見。龐一鳴希望，藉由改善電子病歷的交換架構和存取權，來打好醫療院所的資安體質。

要將資安稽核納入醫療評鑑，還要強化社交工程防治演練

回到醫療資安層面，衛福部也有幾套做法，來鞏固原有的醫療資安機制。首先是擬定在醫院評鑑中，加入資安稽核項目，來吸引更多醫院加入醫療資安聯防機制。這是因為，受限於資安法規定，衛福部無法全面將聯防機制推動到每家醫院，所以得想辦法讓不同身分的醫院加入。

再來，衛福部也會繼續推動資安人才培訓，並與其他政府部會協商，來強化醫療資安聯防。同時還要提升醫資廠商資安意識，將逐步要求醫資業者備妥資安防護措施。

今年，衛福部也計畫辦理更多演練，來加強醫院資安事件處理經驗。這些演練包括資安事件通報，也就是加入H-ISAC的會員醫院將收到H-ISAC演練警訊，會員醫院得依此回覆，進行通報等等。此外，衛福部也會針對社交工程，辦理模擬演練，至少10家醫院參與演練，並各自提交報告。

衛福部也鎖定聯網程度越來越高的醫療儀器（OT），將醫療儀器生命週期納入資安管理，以6種配套措施來納管，像是汰舊換新、採購評估、教育訓練等等。（如下圖）

近期醫院被勒索軟體攻擊次數下降，盤點5大方法降低事件發生率

最後，龐一鳴盤點近幾年醫療勒索軟體攻擊事件，指出2019年8月，臺灣38家醫院在幾個小內接連遭到WannaCry病毒大規模攻擊，是因為病毒從內網橫向擴散，「我們也藉此檢討EEC架構和健保VPN設置，並來改善。」

在那之後，自2020年至今，臺灣只有零星幾家醫院受到攻擊。比如2020年，只有兩起北部區域醫院和地區醫院的受害通報，今年至今也只有3起通報。（如下圖）

他也歸納出5種方法，來降低勒索病毒威脅，包括落實資安長制度、拒絕釣魚郵件（即社交工程攻擊）、建設好網路防火牆，還有USB管控和IT防禦。他認為前4種是對付80%攻擊的關鍵，而IT防禦雖只擋20%攻擊，但也是重要的防護基礎。

龐一鳴建議，IT防禦範圍包括善用H-ISAC情資分享，來掌握勒索軟體防護攻略，此外還有採用各種資安縱深防禦工具和技術來防範威脅。醫院透過有效的管理方式，就能杜絕大多數的攻擊嘗試，讓IT有餘力應付高明的駭客，而不會因層出不窮的事件疲於奔命，這也是IT防禦的心法。

資料來源：https://www.ithome.com.tw/news/144262

#今日疫情重點【部桃事件危機解除！12天無新增個案、歷時40天，今起復工；新增1例境外移入，為無症狀印尼漁工；牛津疫苗最快2月抵台、施打】

衛生福利部部立桃園醫院（後稱部桃）1月12日爆發COVID-19（又稱新冠肺炎、武漢肺炎）群聚感染事件，總計21人確診，波及4個家庭、另一家平鎮地區醫院也出現個案，傳播擴至第五層，社區擴大匡列超過4,300人，部桃也進入全面清空的封院狀況，是疫情爆發以來最嚴峻的挑戰。

此聚群事件歷時40天，最後一名確診者（案934）發病日期為2月7日，也已相隔12天，未再出現感染者；此外，部桃全院應採檢者都採檢完成，血清和核酸檢驗結果全數陰性，這也顯示，感染事件爆發時即為首波感染，沒有在醫院裡先潛伏、擴散開。部桃昨（18）日再進行全面消毒、今日復工，逐步恢復正常運作，危機正式解除。

■部桃今復工，暫不收確診病患

今日上午，行政院長蘇貞昌、衛福部部長、中央流行疫情指揮中心指揮官陳時中，以及桃園市市長鄭文燦至部桃出席「復原啟動、防疫歸隊」的部桃復工儀式。

鄭文燦說，全台940位（現為941位）確診病患，有四分之一送到桃園來，部桃更是收治病患的重中之重，尤其部桃有700張病床、一天門診量3,000人、急診300人，在這40天醫院淨空、無法正常營運的狀況下，依靠桃園其他9家責任醫院同步擴大醫療能量，讓民眾能在春節安心看病。

陳時中也表示，「指揮中心圓滿達成任務，」這段時間部桃已準備周全，專家也認為可以慢慢復工，未來將很快正常營運，現在部桃整體士氣很高。不過，部桃暫時不接收確診病患，指揮中心發言人、疾管署副署長莊人祥表示，只要是確診個案，目前都不會送到部桃；疑似個案仍可在部桃的戶外篩檢站進行採檢，採檢後可回家等結果，除非是採檢時狀況較緊急，就會由衛生局安排先轉院就醫。

■補強資訊化疫調，將在部桃試辧接觸者足跡追蹤App

部桃群聚感染也是對台灣院內感控一次大考驗，雖然擴散規模仍在可控範圍，《報導者》日前採訪多位專家分析、檢討，認為此事件指揮中心拿捏算適度，但第一時間匡列範圍不足、對院內環境污染的警覺性不夠，則是未來應更審慎及加強之處。

#延伸閱讀：【7大解析檢視部桃院內感染關鍵時刻】https://bit.ly/3azGxBP
陳時中日前也公開坦承，此事件因為主管病歷者也被抓去隔離，無法在第一時間查證資料，往後會針對醫院病歷室採取資訊化管理，將各病房病歷資料定期統整到醫院中央電腦主機。另外，醫師在病房間互相流動的路線很多，之後也將採相關App的資訊化方式，掌控醫護人員的足跡。

指揮中心醫療應變組副組長羅一鈞進一步解釋，這次部桃群聚事件發現，第一時間需要匡列的部分接觸者難以明確追蹤足跡，其實，指揮中心資訊組去年已研發完成「社交距離App」，使用者若下載App後，一旦有人確診、且同意分享資料，使用者即可以得知自己是否與確診者接觸超過15分鐘、社交距離小於1.5公尺等等。

這類數位追蹤類似Apple和Google去年5月聯手開發的「暴露通知API（Exposure Notification API）」疫情追蹤程式 ；而包括新加坡及澳洲也自行開發「TraceTogether」、「COVIDSafe」等，但也引發對侵犯隱私的隱憂。羅一鈞則強調，「為了維護使用者權益，資料只會存放在使用者端，中央、廠商都不會搜集程資料庫，App刪除後資料也會消失。」

#延伸了解：【電子圍籬防疫監控，爭議在哪裡？】https://bit.ly/2ZrBA7I

今羅一鈞接受《報導者》採訪表示，目前該App正在由工程師重新改版，預計需花1個月，將先在爆發群聚事件的部桃醫院進行試辦，「現正對部桃內部進行宣導，預計3月可以在部桃開始試辦上線，以部桃醫護、員工為主先使用，但會採獎勵方式，不會強制下載。」

■進口疫苗最快2月底抵台，指揮中心與地方政府、醫院洽談疫苗存放

至於國人關切的疫苗問題，台灣預計購買3,000萬劑疫苗，目前已確定簽約牛津大學和阿斯特捷利康公司（AstraZeneca）合作的「牛津疫苗」1,000萬劑、美國莫德納（Moderna）疫苗505萬劑、以及透過COVAX平台取得的476萬劑，而COVAX分配提供的疫苗中，有20萬劑也是牛津疫苗。下週將得知明確抵台時間，最快2月底即可望抵台，將依風險排序施打。

其餘1,000萬劑，則預計採用國產疫苗，而國內兩家廠商高端、聯亞已進入二期臨床試驗，前者最快完成時間為6月底。

至於臨床效果達95%、由美國輝瑞（Pfizer）和德國BNT（Biotech）共同研發的「輝瑞疫苗」，台灣取得過程則一波三折。陳時中日前提及，原洽談訂購500萬劑，到最後一關談判失敗，原因在於輝瑞疫苗大中華地區代理權，授權給中國上海復星醫藥公司，因中國「外力干預」而導致未簽署成功。

昨（18）日BNT公司透過路透社表示，會承諾與台灣簽訂合約，陳時中表達感謝，並說明日前合約已走到最後一步，希望能儘速完成程序。

除了疫苗購買時程，今指揮中心疫情監測組組長、疾管署署長周志浩表示，指揮中心正與地方政府洽談醫院存放疫苗的方式。「原則上比較需要低溫保存的疫苗（莫德納疫苗，須在零下20度存放），會集中在醫院；如果是常溫接種，2到8度存放的常規疫苗（AZ疫苗）就會在基層。目前已由地方政府洽詢醫院、準備進行合約，指揮中心同時也在準備資訊系統，希望屆時透過預約制度，讓民眾有序施打。」

■新增1例境外移入個案，為無症狀印尼漁工

今日也新增一例境外移入個案，為一名20多歲印尼男性漁工，於2月4日來台工作，持有登機前三日病毒核酸PCR陰性報告，入境後至集中檢疫所檢疫，2月17日檢疫期滿錢採檢確診，至今沒有症狀，因沒有與他人接觸，因此無匡列接觸者。

目前全台共941例確診，分別為825例境外移入、77例本土病例、36例敦睦艦隊、2例航空器感染、1例不明，9人死亡，目前44人住院隔離中。（文／陳潔；攝影／余志偉 ）

★事實從未如此重要，記錄關鍵時刻，#贊助報導者：http://bit.ly/2Ef3Xfh

#報導者 #疫情 #部桃 #院內感染 #群聚 #疫苗

政府應發起全球加速器聯盟，協助台灣新創公司進軍國際

在醫療照護智慧化的過程中，轉變的不只是醫療程序而已，真正的智慧醫療是將消費者放在核心，建立一個資源與數據共享的生態體系，涵蓋醫院、診所、實驗室/影像中心等等，當然也包含醫療設備電子化。

「這些設備都是在很危急的時候要用到，如果在臨時發現設備出問題，或發現它的功能不如預期，你要救的這條命可能就沒了。」博鑫醫電游瑞元執行長跟我說，全世界為了防堵或避免這樣的遺憾，會有許多機制和法規，去維繫急救設備的使用時的正確性，例如：在設備出產前需要通過哪些法規，更重要的是，急救設備和比較大型的急重症生命維持的設備，都需要經過反覆檢驗才能使用。

為了維護這些設備的正確性，醫院其實花費龐大的人力與時間成本去檢測與維護，儘管醫療持續發展，但在設備這方面，需要受到週期性的檢測，目前就是個必要的缺口。

醫療資訊化的演進，從傳統手寫病歷到電子病歷系統，最終走向大數據，這條路線正蓬勃發展。但醫材設備仍停留在手工檢測報告，沒有前進到電子檢測報告、更沒有建立數據資料庫。

經過這二十幾年，這些產出的病歷全部都變成電子病歷，這個東西是ICT（資訊與通信科技）的轉化，這本身是經濟活動之外，轉化成電子病歷後，未來的衍伸出一些的臨床大數據的效益，「你沒有電子化、資訊化，臨床大數據就很難做出來。」

將醫材檢測報告電子化，並整合醫療器材的產業數據，就是博鑫醫電目前專注在做的事。

像是視覺判讀這件事就牽涉到很多的技術含量在裡面，包括影像、波型等等，機器本身必須對心電圖的畫面辨識，還必須跟正確的做比對、再來跟法規比對，整件事情下來，如果按照之前人工的操作模式，要測量、操作儀器，還要產出手寫報告，這些過程下來，檢測一台機器就要做一個半小時，而且人還要一直做一直做。

為了解決人工操作付出的大量時間與人力成本，博鑫醫電研發出「AVS-P自動化檢驗方案」，只要把裝置連結醫療設備，就能取代人力操作。
這樣可以減少多少操作時間呢？瑞元執行長跟我說：「用我們這個機器的話，只要放著讓它跑，十分鐘後就可以來收設備了。」過往人工要不停操作1.5小時，現在只需要放著機器，就能產出電子報告，也讓後續建立資料庫更方便。

不只有研發醫療設備、使用設備的需求，我們還必須注意到設備的維護與檢測上的龐大需求。博鑫醫電提供一些自動化、資訊化的服務，讓台灣人力不足的情況下，能有辦法維繫這些機器運作。

瑞元博士跟我說，目前這個技術在全球尚未有廠商著手研發，除了尋找投資資金，還需要協助開發市場、與國際廠商競爭。

幫忙台灣新創公司打國際盃，我認為政府應發起全球加速器聯盟，讓新創公司能夠帶著創新產品或者技術，到要開放市場的加速器，三個月或者六個月，了解當地的法規、文化，市場試水溫，而不需要馬上負擔設立公司、聘任人員的成本與風險。

讓新創公司可以跨國互相交流，協助台灣新創公司進軍國際、也歡迎其他國家的新創團隊進入台灣，為台灣創造更多產業與經濟發展的能量。

#新創台灣 #新創新竹
#宏輝的產業之旅
———
相關連結：
鄭宏輝觀點》政府應發起全球加速器聯盟，協助新創進軍國際
https://www.storm.mg/article/2878175