Impactio 活動 | 醫療數位轉型 x 資安挑戰

活動精華收錄

Podcast音檔

立即收聽

00:00~02:20

開場、活動主題簡介、Impactio 簡介

02:21~04:10

嘉賓介紹：科技部人工智慧生技醫療創新研究中心副執行長 - 張丹菁副執行長

04:11~07:02

嘉賓介紹：全幅健康照護研究中心共同執行長 - 曾柏元執行長

07:03~08:56

嘉賓介紹：台大醫院內科部暨健康管理中心主治醫師 - 林鴻儒醫師

08:57~51:55

討論議題一：醫療產業 x 數位轉型的趨勢與瓶頸

首先我們要開始討論的第一個議題就是在醫療產業跟數位轉型的趨勢，因為疫情的加速，然後讓一些醫療數位轉型、創新的概念快速延伸與發展，但同時又因為醫療產業就是一個必須要高度管制的產業，所以他雖然還有很多有趣的點子，但是能夠落地執行的部分目前看起來不多，或是需要很長的醞釀時間。例如零接觸的智慧防疫機器，快速完成實名制登錄、跑出旅遊史、接觸史等等，但這個發想會牽扯到民眾的數據，並且需要與醫院的系統做介接，也會衍生安裝、數據資安的議題。此外，近期也很夯的遠距醫療，醫生要如何的對症下藥？在看診的時候如何能更精準，不會說不偏離，至少不偏離過往面對面的看診方向，其實都可以預期會有一個蠻大的挑戰，想請教各位講者，對於目前這兩塊的發展，是否有什麼洞見可以跟大家分享？

數位轉型一直存在，但是推動轉型快速發生，通常來自一個「事件」進來帶來「一些需求」產生。

其實，過去這幾10年來我們一直在談「數位轉型」這件事情，而且不只醫療夜，其實各行各業都在講數位轉型，包括像是製造業、服務業，所以我們才會有所謂的數位時代、千禧年代等等，他們從一出生就非常的習慣數位化這件事情，同時我們的世界也從紙本到數位化、電子化。但是一次嚴重的疫情 Covid-19 來襲，所有的方面都在加速運轉，連學校都反應迅速，讓教學變得電子化、直接全面遠距上課，裡頭的師生、父母基本早就已經習慣這樣的互動模式。因此我們可以從這次疫情加速數位轉型的案例中發現，數位轉型其實通常都會是來自於一個「事件」進來帶來「一些需求」產生。

數位轉型其中一個帶來的變化：連續式的演進 → 產生連續數據 → 量資料回饋至質化方面的演進

我們所正在經歷的數位轉型，回歸到醫療產業本身，包括現在我們的生活，現在只要進到每一個商店、學校場所等，每一個地方都會有一台機器量體溫，從早期的只能量體溫，到後來可以測量臉部、手部單部位的體溫，到後來帶著口罩都可以精準量測，同時也可以消毒，那其實這就是一個對於就是健康管理的一個演進，這樣子的連續式的演進，就會產生連續數據，而連續數據的量化也會回饋到我們醫療的在質化方面的演進。舉例來說，糖尿餅一直都是全世界的十大死因，近三年還飆升近七成的患者，糖尿病一開始醫療相關的裝置，從尿糖、單次的血糖、飯前、飯後的血糖到現在其實已經在國外已經裝置可以據實地去偵測血糖。那我們在這個服用藥物的過程當中，也因為這樣子的連續數據而去做一些我們所謂的該上的一些 guideline 上的變化，國外也有一些所謂針對胰島素的幫浦，如果他在評估過程中發現有異常的狀況，就可以根據數據自動計算，而去提供適當的劑量，甚至也有國外的 app 幫忙計算患者每天需要的血糖值數據。而醫院端如何去好好地處利大量的連續性的數據，並提供即時的診斷、照護、提醒與警示，這是醫療業本身正在致力於轉型和努力的部分。

這樣子遠距的發展其實需要許多產業的動力，這樣產業的動力是台灣非常重要的能量所在，可以看到許多國家隊 ICT、AIOT 整合、集中產業資源之後，才有機會讓這些數據、各產業的資源落地成產品。

遠距醫療落地上會面臨的困難點：

科技始終來自於人性，但是每一次科技的進步也都會衍生相對應的新問題

老人家並不是 00 後、90 後和 80 後的世代，對於他們來說大多數的電子設備都是陌生的，何況是網路世代下的新產物，遠距醫療會遇到一個看似很簡單的問題，但是對於老人家來說，遠距醫療，光要找到鏡頭的位置，就已經花費非常多的力氣，對於他們來說，即便找到了，眼睛也可能霧霧的，要如何仔細看清處螢幕中的醫護人員，加上現實情況下，老人家使用的電子通訊設備通常也不是最新穎的，連線等狀況不穩定也是非常常見的現象。而這部分正是我們可以去發展的方向，例如現在幾乎每個家裡都有電視、數位電視，是不是有機會裝上鏡頭，與醫院連網，讓老人家可以在習慣的位置，進行遠距診療。

其實人工智慧的發展並不是近期才發生，那為什麼二十年前 AI 就有人在做，但是為什麼現在大家才開始廣泛運用？因為我們在念書的時候，老師常說一個笑話，20年前就有人在做 AI，但是跑一次 AI，可能要跑兩天，那就乾脆不要用 AI 了，原因就是因為那時候沒有雲也沒有合適的硬體設備可以去支持這件事的處理。所以如同上述的例子，是否可以運用「數位辨識」去達成遠距醫療的效果，但仍然需要配套措施，因為如同剛剛舉的例子，仍需要患者家裡有數位電視，而且還有具備良好的網路品質，甚至具有 5 G 的時候，這些很棒的設備、裝置和發明，配合適合使用者，可以輕鬆上手的流程、方式，才有辦法實際落地，並真正幫助到患者。

遠距醫療的具體執行流程分享：

醫院本身有開發自家 App：

醫院可以把自家病患的資料串接，若是要開發遠距醫療就可以運用原有的 App 去做遠距醫療的預約，透過醫師在診間架設視訊設備，並從醫院中調閱病患原本的看病資料，不過這裡可以延伸出另一個問題：「遠距醫療中是否可以初次看診？」目前的架構下，是無法的，目前遠距醫療幾乎都用在長期慢性病，舊病患長期與醫院醫師的診療、接觸，因為遠距多只有問診，少了許多如 X 光等的身體評估，更適合固定追蹤病情。而我們這裡簡單提一下遠距醫療衍生的資安問題，對於醫病來說，可能就需要做一些身份認證、例如檢驗健保卡、三讀個人資訊等等，而這些流程的優化和步驟也都是推動遠距醫療的必經之路。

穿戴式裝置輔助亞健康民眾進行即時自我健康管理

其實很常見的 Apple Watch 就是一個經典例子，透過即時監控個人的健康指標數據，監測異常時適時提醒，讓大家能輕鬆掌握自己目前的健康狀況，而適合或是常用穿戴式裝置監測自身健康狀況的族群，很大一部分是亞健康族群。亞健康族群可以理解成目前雖然尚未被診斷患病，但是為未來發生某種疾病的高風險族群，廣泛來說，也可以說是目前尚未確診任何疾病，但是體感上卻有不舒服的症狀，畢竟我們的身體狀態並不是只有「健康」、「生病」的二分法，在健康與疾病中間，有一大塊灰色地帶被稱為「亞健康」，全球大約有 75% 的人目前介於亞健康狀態。
其實不只是老年或是偏鄉適用於遠距照護，當疫情到四位數時，許多相關民眾若有接觸史，未來可能都需要常態性居家自主管理。而如何能在家裡也能妥善照顧自己，就是我們目前最快將面臨的問題，因為非常大機率會發生，一開始為輕症確診或只是具備接觸史但一開始檢測為陰性，但是居家時發生了突發的健康緊急狀況或是變成重症，在第一時間沒有專業醫療設備時，身邊的家人該如何協助處理與應對？以及確切我們該運用什麼資源、流程去聯繫醫療與政府相關單位，這部分是目前最應該去花心思的部分。遠距的實施依照健保的規定目前還是限制在特定的科別，但其實也有其他很需要的科別，需要搭建起可以落地的流程和設備。

52:00~1:26:10

討論議題二：焦點對談 - 醫療業轉型路上的資安挑戰

醫療業的五大資安破口

近年來政府頒布資通安全法，原本技術門檻就十分高深的醫療業，再加上困難的資安議題，讓醫療資安成為許多臨床界、業界的痛點。資安其實一直都充斥於我們的生活中，但並不是單純一個口號，目前醫院需要有資安長並有相關配套系統、措施去維護醫療資安網，目前醫療產業正面的危機可分為五大資安破口：

健保 VPN：勒索病毒入侵與擴散

端點設備：Windows 檔案共享、遠端桌面服務

伺服器主機/OT 設備：作業系統老舊無法更新、防毒無法支援等等

內部網路：容易破解的密碼

護理推車：資料傳輸安全、週邊設備如 USB、藍芽等存取控制

現在我們都說資安即國安，其實資安也可以說即為病安，當面對這些危機時，如何做到完善的資料備份？醫院系統與設備老舊的狀態下，弱密碼（像是大家很喜歡用 0000 或 1234、自己的生日等作為萬用密碼）與打工兼職人員的權限等都是直得我們深思的話題。

如何在臨床上取得資安和醫療效能的平衡？

醫院系統上分為軟體與硬體的應用，還有醫院內部系統如 PIS 病理資訊系統、RIS 放射線報告系統，以及架構外部系統如生理裝置、醫療儀器、醫療設備甚至到用手機或是平板用的 APP 等。像是資訊安全管理標準 ISO 27001，這些規範是否會不會造成我們太過度重視資安，但是造成臨床上的困難點，反而本末倒置？例如：當醫師、護理人員在醫院遇到特殊疾病案例，需要查閱必要文獻，或者是查詢國際的 guidience，因而需要連網，但如果在 ISO 27001 架構之下，可能我們要 key 病歷的電腦，不能去連接對外的網路，必須使用內部系統、網路，或者是必須向資訊室申請，明明是很簡單的一件事，但是必須要透過非常繁瑣的方式。研究型的 MRI 中心的防火牆是建立在自家的帳密系統裡面，而不是建立在外面，這是很特別的一件事，但是因為資料庫與登入介面的外包廠商是不同的，所以中間的缺陷就有資安隱患，所以才會有這樣特殊的處理。

資安檢測實際上到底包括什麼？

其實資安是在產品開發過程中就應該要落實資安評估和執行，包括需求訪談、建模、漏洞檢測至最終評估，其實對於資安我們的想法不應該是「資安到底花了我多少錢？」或是「我們家資安真的好差」而是「資安需要改進，那我趕快完善這部分，未來遇到任何資安風險，可以為公司、機構省許多無妄之財和風險」

無論是 in-hospital 的端點，還是 out-of-hospital 如遠距醫療和居家安全，都與資安息息相關，連線 APP 裝置、數據去識別化，因為在前瞻開發裡面，其實不只是開發的先進前瞻，還需要讓使用者能用得安心與放心，這才是真正的醫療資安開發的方向。

資安很花錢？沒有做好資安防護，以後會花更多錢！

資安、環保、永續聽起來都很花錢，但是如果真的發生勒索事件，需要花更多錢，而目前的網路世界中，網路攻擊幾乎是來自全世界且無時無刻都在發生，所以資安是一種投資、保險，也是任何與網路有相關的事業、機構都需要具備的風險意識，讓你未來遇到挑戰時，不需要多花錢，而具體每一間機構需要做什麼資安調整，需要 case by case 實際了解，才有辦法判斷。

此外，資安也是與我們每個人息息相關，而不是只有政府、公司、機構需要煩惱的，舉例來說，今天有個厲害的駭客，經過戴有心臟節律器的患者時，只要經過你身邊，可以做到讀取心律數據並操縱的程度，在世界資安大會上，現場就直接運用假人做實驗展示，運用駭客的方式攻破心臟節律器時，假人直接當場爆炸，現今駭客可以做到操縱你生命的地步，所以資安即人身安全真的不是電影情節也不是誇大，此外，資安更是與我們每個人都息息相關的議題。

個人資料的隱私權、擁有權與使用權

以穿戴式裝置讀取個人生理的連續性數據來看，個人資料的使用權、擁有權、存取權的劃分是目前比較大的問題。由於儀器是屬於醫院的，所以訊號監測、數據解讀都是在醫院進行，基本上都需要病患同意，才能把這些資料拿去做其他利用，所以個資外洩和資安問題比較少見。

其中，我們特別來談談資料的儲存，資料儲存中包含我們使用的硬體、傳輸的架構、儲存的方式、儲存的位置，無論台灣還是美國的資安法規、評估架構，都是在限縮資料流的安全性，除此之外，其實除了病歷的醫事法保護之外，歐盟也有號稱全世界最嚴格的個人資料保護法規 GDPR，也是在因應個人資料的蓬勃應用，除了穿戴式裝置，還包括社群媒體如 Facebook 上的點讚、照片分享等應用。所以所有開發出來的軟硬體產品架構都應該符合法規認證，才有辦法上市，例如台灣社交距離軟體，如確診者比對，每幾分鐘會產生序號，會與本人的位置做連結，中央政府看到時就是看到去識別化的資料。

聽眾 Q&A 與反饋

醫療畢竟以人為本，最終醫療行為目的要「治療病人」，只要科幻的遠距離人體傳送尚未現世，始終要病人和醫療體系實體接觸，遠距看診有太多的困難，考慮從生理監護開始實現？例如醫師說的亞健康，長期臥床可以讓病人有額外血壓量測，心電圖、心率、呼吸頻率、這些已經有科技廠開始有這些蒐集裝置，DATA有了，怎麼接入應用？

關於生理訊號的監測其實已經發展一段時間了，於落地醫療上，醫療人力上是個問題，可以提供多少人力去處理訊號數據？你我願意付出多少來雇用醫療人力去做監測這件事？是目前醫療體系上的考量。例如加護、重症病房上花費大量的人力，確實可以在醫療方面有顯著的效果，但是若是場景換成長期照護、慢性病患者身上，大家願意在經濟上花費多少比例在這塊上面？因為相對一定會剝奪運用在其他方面的醫療資源。當然 AI 也能去輔助這件事，協助醫護人員更快速與精準的判斷，減輕現有醫療量能和資源的負擔，AI 系統在商業模式上是否符合成本效益與經濟考量就是當前不同利害關係人可能要考慮的部分。而亞健康的部分更偏向預防醫學，平常是可以正常生活的，所以藉由生理量測，並根據過去的資料判斷，適時提醒當事人，這就是實際上常見的應用方式。

目前所知,除被強制規定的公立醫院或醫學中心會執行資安管理制度或是資安防護,未被規範的醫療產業或機構事實上較不願意提撥預算做資安,是否有相關策略或作法可鼓勵上述機構做好資安防護呢?

雖然規定上是說一定等級上的醫院，然後實際上設立資安長的必要性這件事上面，有提及醫院拿的這個主要的醫院都需要設立資安長。不過其實規定中並沒有說其他小型醫院、診所等並不需要，其實逐步落實醫療系統作為面，其實室將資安防護分三種不同低中高的強度要求。因此，對於資安的要求其實是有落實到基層診所，例如他在基層診所中，，要求有最基本的這個資安的基礎參考標準，要去訂定各級醫院資安相關的防護。
第二個部分，包括指定醫院、公立醫院或是一般的醫院，其實資安評估未來會納入資安評鑑裡面，這是對醫院來說最重要的考試，也與健保相關聯，在這情況底下，醫院一定會很認真的把資安作為重要的方向，以後資安會列為醫院評鑑中，也更能落實相關資安法規，但是實際上裡面產生漏洞的更可能會是醫院中或醫院外的醫療相關人員，都具備資安防護概念和認知，其實才是是否能確實落實的關鍵點。

目前開放可以線上申請新的健保卡，甚至可以將全新的健保卡寄到家中，但是申請過程沒有嚴格身分證明要求。如再結合遠距醫療，真的很難確認病患身分，也可能遇到「假病患」問題。要如何解決此問題呢？

健保卡其實有點像是身分/個人的 ID，或是更精確說是個人醫療 ID。在執行的過程當中，是不是有符合某一些規範，到底是使用者沒有確實執行，還是過程確實充滿風險？必須要針對整個系統、使用者需求做需求訪談，再去做範圍/scope 的界定，這也是資安難以導入的癥結點。舉例來說，通常資安導入，我們會先問「這間公司裡面有多少台電腦？多少台主機？多少個硬體裝置？或者是多少連網裝置？」我們問過大概 9 成的人都無法回答。健保線上申請主要是為了讓大家在 Covid-19 期間可以更簡便的去更換，如我們的報稅系統也是可以遠距線上操作，裡面有諸多認證，在數位世界中可能沒辦法單一層面的問題或是解決方法，還是需要去做全面性的評估才有辦法準確解決。

目前衛福部放寬電子病歷存取權，並允許醫療機構上雲代管，請問醫院端在這方面會有什麼樣的資安因應措施呢?若醫療系統公司未來想自行研發電子病歷系統，是否有相關輔導單位能夠進行諮詢?

以廠商的角度來說若要使用醫療相關資料，比較可行的方式會是進行與學術研究單位進行產學合作、與醫院做長期溝通。電子病歷很重要的一件是他可以互通有無，去不同的醫院透過你的健保卡就可以看見你過去的藥例、病史等，在例如在急診工作的時候，若病患無法自行溝通也無家屬朋友協助，必須要看對方的藥例，沒有辦法取得他的健保卡或是他的同意，要等家屬抵達才能做下一步，但是現在有一個折衷措施，讓第三方醫師一起去判斷，通過過去的藥例斷他可能的綜合疾病、藥物副作用的。電子病歷上雲對於病患和病患家屬而言也會輕鬆很多，不需要經過繁複的流程掉資料出來，如何放寬電子病歷交換系統，未來不只會是點對點，因為這會有許多風險也很難控制，就像傳 Line 出去，很可能被擷取等等。中間會提到的就是「第三方監管」硬體傳輸、軟體儲存、資料架構須符合國際級架構，這是目前台灣做雲的共識，所以業者須符合以上的國際與國內架構之外，醫院對醫院端以外，若需要做研究開發甚至商用機會，就需要討論到「應用端」，底下的產業鍊會產生什麼樣的火花，是大家可以深究的方向。目前的方案可否上第三方監管還是草案，所以還沒有明確規範，目前最像是第三方監管角色是國家高速網路與計算中心，他們有相對應專案的資料儲存架構，非常適合相關產業參考。