今天產業篇來到醫療產業的環境,要來看看資料安全在醫療產業的特性與運作。
前面我們已經分別看到金融與製造業的特性,
無論是穩定至上的金融,或是牽一髮動全身的製造特性,
都各自有其對於資料安全保護的特性與作法。
接著我們來看看醫療產業的資料安全概況
醫療產業最為關切的乃是治療病患的安全,
無論相關人員(醫生、護理、照護)等,
或是從事相關檢查、手術或是相關措施等等,
均是以保障生命安全為首要之務。
因此在 IT 系統的運用上,也更是契合相關目標,
各種資訊系統、儀器操作、藥品資訊等,
也都務求精準的正確性與完整性(防止遭他人竄改),
因此在資料安全的角度而言,「完整性」的優先是最高的,
再者才是「機敏性」與資訊系統的「可用性」。
延續前面談及的,醫療產業首重資訊的完整性,
因為牽涉到各種醫療資訊、藥品資料或是攸關性命的處置資訊,
因此各個環節從指示用藥、給予藥品到使用該藥品的提示資訊,
也都要確保每個環節的醫藥資訊能獲得確認與稽核,
才能以透明整體用藥指示與流程。
雖然因此在醫藥產業產生出來的資料的完整性優於機敏性,
但當正常與穩定的醫療體系運作下,機敏性議題也就隨之遭人關注。
另如重要人士、政治人物、名人或明星等病患資料,
雖然與完整性牽涉較少,但一旦相關患者隱私資料遭外界知悉,
也將對當事人與醫院聲譽,以及保護醫病隱私的努力與效果產生質疑。
根據維基定義「根據美國法律,受保護健康信息(英語:Protected health information, PHI)是能夠與特定個人關聯,由受保護實體(或受保護實體的業務關聯企業)創建或收集的有關健康狀況、醫療保健提供或醫療保健支付的任何信息。PHI涵蓋的內容極為廣泛,包括病人的醫療記錄或支付歷史的任何部分。」ㄐ
參考來源:https://zh.wikipedia.org/zh-tw/%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E5%81%A5%E5%BA%B7%E4%BF%A1%E6%81%AF
在歐美主要國家,PHI 的資料保護、法規要求與相關行政裁罰非常重視,
一旦有相關 PHI 資料外洩的事件發生,
就會遭到主管機關高額的罰款與處罰,
進而透過高標準與裁罰力道讓防範與提升相關資料安全作為。
醫療產業的重點在於提供醫療服務,同時確保執行品質與到位,
但當醫療穩定趨於穩定時,醫療資料的保護便成為被關切的點。
無論在醫療評鑑、ISO 27001 檢討會議,都更多的關注資料管控安全措施。
但醫療產業普遍缺乏資安資源、資訊人員兼代資安業務的情況也居多。
就只能多透過委外廠商服務來提供與滿足相關的資訊安全防護需求。