今天的學習目標是理解主要醫療資訊安全法規與資料標準，包括 HIPAA、GDPR 與 FHIR 標準，了解它們對醫療資料加密、存取控制與資料交換的要求，為後續程式實作與安全設計奠定基礎。

一、法規

• HIPAA(美國)
  隨著醫療資訊數位化發展，單靠技術手段已不足以保護病患資料。HIPAA規定病歷資料必須加密、限制存取，並建立稽核機制。系統中不同角色（醫師、護理人員、病患）需有明確權限，確保資料僅授權人員能讀取或修改。違規存取可能帶來法律與經濟風險。

• GDPR(歐洲)
  在歐洲，GDPR 進一步強調病患對個人資料的控制權，包括查詢、匯出及刪除資料的權利。對於開發者而言，系統不僅要安全，也要支援這些操作。GDPR 還要求資料使用最小化和透明化，這對醫療系統設計提出更高要求。

• FHIR標準
  除了法規，資料交換的標準化同樣重要。FHIR（Fast Healthcare Interoperability Resources） 提供跨系統資料互通的統一標準，使醫療機構之間可以順利共享資訊。然而，資料傳輸仍面臨攔截、竄改等風險，因此系統設計時需要考慮加密通訊、身份驗證及權限控管。

二、案例分享
2018 年，歐洲一家跨國醫療平台因未完全遵守 GDPR，病患在不同國家傳輸的資料被第三方非法存取。該事件導致數千筆病歷資料洩漏，平台被處以高額罰款，並需立即整改存取與資料保護機制。這個案例顯示，單靠技術措施不足，若忽略法規遵循，資料安全仍會受到嚴重威脅。

三、簡單程式示範

patient_record = {"patient_id": "P001", "name": "王小明", "diagnosis": "高血壓"}
user_role = "doctor"

# 簡單存取控制示範
if user_role in ["doctor", "nurse"]:
    print("可讀取病歷：", patient_record)
else:
    print("權限不足，無法讀取病歷")

以上用 Python 模擬病歷資料的匯出與讀取，加入角色權限檢查，觀察誰可以存取資料。執行結果如下

而當我將 if user_role in ["doctor", "nurse"]: 的doctor刪除時，執行的結果如下

透過今天的實際案例+程式碼應用，我可以理解法規要求如何轉化為程式邏輯，並觀察到如果忽略法規或存取控制可能造成的實際損失。