第一章 總則
|
本辦法依醫療法(以下簡稱本法)第六十九條規定訂定之。
〔立法理由〕 酌修文字。
|
醫療機構以電子文件方式製作及貯存之病歷(以下簡稱電子病歷),符合
本辦法之規定者,得免另以書面方式製作。
〔立法理由〕 本條未修正。
|
醫療機構實施電子病歷者,應建置電子病歷資訊系統(以下簡稱系統),
並具備下列管理機制:
一、準作業機制:系統建置、維護及稽核之標準作業程序。
二、權限管控機制:電子病歷製作、存取、增刪、查閱、複製、傳輸及其
他使用權限之管控。
三、緊急應變機制:系統故障之預防、通報、應變、復原及其他緊急應變
措施。
四、系統安全機制:確保系統安全、時間正確、系統備援與資料備份及其
他保護措施。
五、傳輸加密機制:網路傳輸電子病歷,使用國際標準組織通用之加密機
制。
六、安全事故處理機制:因應系統遭侵入、資料洩漏、毀損或其他安全事
故之預防、通報與應變、檢討及修正措施。
執行前項各款管理機制,應製作紀錄,妥善保存至少五年。
〔立法理由〕 一、醫療法(以下稱本法)第六十七條所稱病歷,係指醫師依醫師法執行
業務所製作之病歷、各項檢查、檢驗報告資料及其他各類醫事人員執
行業務所製作之紀錄,屬醫療機構重要文件,亦屬個人資料保護法之
特種個人資料,且為醫療事故及爭議發生時之重要證據,爰醫療機構
以電子文件方式製作及貯存之病歷(以下簡稱電子病歷),應評估蒐
集、處理及利用電子病歷之風險,並根據評估結果訂定適當管理機制
,爰增列修正條文第三條第一項各款管理機制之標題,現行條文第三
款移列至修正條文第十三條規定,現行條文第四款及第五款移列至修
正條文第三條第一項第三款及第四款,並增訂第五款及第六款之規定
。另修正條文第三條第一項第五款之傳輸加密機制,資料傳輸應使用
國際標準組織通用之安全加密機制,如ISO或IETF認同之SSL/TLS安全
協定。另每年應辦理至少一次內部稽核作業。
二、第一項管理機制均應有執行紀錄可供查核,爰增訂第二項。
|
前條第一項第四款系統安全機制之其他保護措施,應包括下列事項:
一、使用者身分之確認。
二、個人資料顯示之隱碼或其他適當保護措施。
三、系統開發、上線、維護及應用軟體之驗證確認程序。
四、系統使用及資料存取之監控措施。
五、網路入侵系統之防範措施。
六、非法或異常使用之因應措施。
〔立法理由〕 一、本條新增。
二、參考「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦
法」第十條之資訊安全措施,明定修正條文第三條第一項第四款電子
病歷資訊系統(以下簡稱系統)安全機制之其他保護措施應包含之事
項。
|
醫療機構發生第三條第一項第六款安全事故時,並應以個人資料保護法施
行細則第二十二條所定方式及內容,通知當事人或其法定代理人。
前項安全事故影響醫療機構營運或當事人權益時,醫療機構應於知悉事故
發生起七十二小時內通報直轄市、縣(市)主管機關。
〔立法理由〕 一、本條新增。
二、為使個人資料發生被竊取、洩漏、竄改或其他侵害事故時能即時通知
當事人,並兼顧個人資料保護與通知效率,以保障個人權益,爰明定
第一項規定。
三、醫療機構及醫事人員管理與督導,係屬直轄市或縣(市)主管機關之
權責,倘發生資料遭竊取、竄改、毀損、滅失、洩漏等足以影響醫療
機構正常營運或當事人權益時之侵害事故,應向直轄市、縣(市)主
管機關通報;又參考行政院「行政院及所屬各機關落實個人資料保護
聯繫作業要點」第六點規定,要求醫療機構於知悉事故發生時起七十
二小時內通報,爰明定第二項醫療機構之通報規定。
|
第三條第一項系統,醫療機構得委託大專校院、依法登記或立案之法人、
機構或團體(以下併稱受託機構)建置及管理之,並由醫療機構負本法及
本辦法規定之責任。
前項醫療機構之委託,應訂定書面契約。但有下列情形之一者,得免訂定
書面契約:
一、委託所屬醫療法人或其他法人之其他附設醫院。
二、委託所屬學校之其他附設醫院。
三、委託所屬機關設立之其他醫院。
第一項受託機構,應通過中央主管機關認可之資訊安全標準驗證,並有證
明文件。
〔立法理由〕 一、本條新增。
二、基於資通系統及資訊安全之專業性,醫療機構得委託專業之大專校院
及依法登記或立案之法人、機構或團體(以下簡稱受託機構)建置及
管理系統;惟應考量受託機構之專業能力與經驗、委託項目之性質及
資通安全需求選任之,以確保系統安全,爰為第一項規定。
三、病歷係為特種個人資料,無個人資料保護法第六條但書規定之情形者
,不得蒐集、處理或利用;本法第七十二條亦明定,醫療機構及其人
員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。為免發
生爭議,爰於第二項要求醫療機構委託受託機構建置及管理系統時,
應訂定書面契約。惟醫療機構委託所屬醫療法人或其他法人、所屬學
校之其他附設醫院或所屬機關設立之其他醫院建置系統者,如認為發
生爭議時,可明確與受託機構區分責任歸屬(例如以口頭、文書或其
他方式約定權責分工),得免訂定書面契約,爰以但書為例外之規定
。
四、為讓醫療機構挑選適當之受託機構以確保品質,且目前國內有能力設
置、管理電子病歷資訊系統之專業機構家數並不多(約十家以下),
爰於第三項規範受託機構之資格條件為:應通過中央主管機關認可之
資訊安全標準驗證(包含ISO/IEC 27001、ISO/IEC 15408或其他國際
認定之資訊安全標準)。
|
前條第二項契約,應載明下列事項:
一、委託事項之範圍。
二、受託機構之權利義務。
三、受託機構應遵行第三條至第四條、第八條、第十三條至第十六條規定
。
四、受託機構利用非自行開發之系統或資源者,其來源及授權證明。
五、病人隱私保障及資料保密與安全維護之措施。
六、受託機構遵行委託機構訂定之標準作業程序、風險管理、內部控制及
稽核制度。
七、雙方終止及解除契約之事由及資料處理機制。
八、受託機構就委託事項,同意主管機關於指定期間內取得相關文件、資
料或報告。
九、受託機構就委託事項,發現資通安全異常或缺失時,應立即通知委託
機構。
十、受託機構就委託事項,不得再委託第三人為之。但經醫療機構同意,
並於契約載明再委託事項、期間及再受託者,且不免除原受託機構之
義務時,不在此限。
十一、其他中央主管機關指定之事項。
〔立法理由〕 一、本條新增。
二、明定修正條文第六條第二項之契約應載明事項,以免發生爭議。另為
避免受託機構將委託事項再委託予第三人,導致權責不清,爰於第十
款訂定「原則禁止,例外可再委託之條件」。
|
醫療機構就系統資料之蒐集、處理與利用及資料庫之使用,運用雲端服務
或委託受託機構提供雲端服務時,應依下列規定辦理:
一、採取適當風險管控措施。
二、採取避免醫療業務中斷措施。
三、對雲端服務業者進行監督,並得視需要,委託受託機構或其他專業機
構協助監督。
四、停止或終止雲端服務時,資料移轉回委託機構或其他雲端服務業者之
機制。
前項雲端服務之資料儲存地點,應設置於我國境內。但因特殊情形,經中
央主管機關核准者,不在此限。
第一項提供雲端服務者,應通過中央主管機關認可之資訊安全標準驗證,
並有證明文件。
〔立法理由〕 一、本條新增。
二、雲端服務( Cloud Service)係資訊時代下之必然產物,結合雲端運
算(Cloud Computing)、雲端儲存(Cloud Storage)、網路連線,
與商業需求之新時代網際網路服務之雲端服務是無可避免,爰於第一
項明定醫療機構使用雲端服務之相關規定。
三、病歷係特種個人資料,爰於第二項規範雲端服務之資料儲存地點,以
我國境內為原則;惟考量與國外合作等特殊情形,爰以但書規定例外
情形。
四、為確保雲端服務之資訊安全,爰於第三項規範提供雲端服務者之條件
,並授權中央主管機關另行公告認可之資訊安全標準驗證。
|
醫療機構實施電子病歷者,應敘明開始實施之日期及範圍,並檢附第六條
第二項契約及第三項驗證通過之證明文件,於實施之日起十五日內報直轄
市、縣(市)主管機關備查;變更實施範圍、受託機構或停止實施時亦同
。
〔立法理由〕 一、因修正條文第六條第二項增訂醫療機構與受託機構應訂定契約,又同
條第三項增訂受託機構之資格條件,本條爰明定醫療機構應檢附上開
增訂內容之相關文件及於規定期限內,向直轄市、縣(市)主管機關
報備;變更實施範圍、受託機構或停止實施時,亦須檢附文件並於規
定期限內報請備查。
二、鑒於國內醫院病歷電子化發展已相當普及,爰予以刪除「並應揭示於
機構內明顯處所」等文字。
|
醫療機構實施電子病歷者,於接受醫院評鑑或申報全民健康保險給付時,
醫院評鑑或全民健康保險之主管、主辦機關非有特殊理由,不得要求其提
供電子病歷之列印或影印本。
〔立法理由〕 現行條文第七條第一項及第二項規範不同內容,爰將第七條第二項移列至
本條,並酌修文字。
|
第二章 病歷製作及簽章
|
醫療機構製作電子病歷,應符合下列規定:
一、輸入識別碼或其他識別方式,經電腦系統確認其身分及權限相符後,
始得進行。
二、增刪電子病歷時,應能與增刪前明顯辨識,並保存個人使用紀錄及日
期資料。
三、依本法第六十八條第一項所為之簽名或蓋章,以電子簽章為之。
四、病歷製作後,應於二十四小時內完成電子簽章。
五、電子簽章後,應進行存檔及備份。
醫事人員因故無法於前項第四款時限內完成電子簽章時,應由醫療機構採
用醫事機構憑證簽章代替;除有特殊情形外,醫事人員應於事後完成補簽
。
〔立法理由〕 一、條次變更。
二、按本法第六十八條第二項規定「前項病歷或紀錄如有增刪,應於增刪
處簽名或蓋章及註明年、月、日;刪改部分,應以畫線去除,不得塗
燬。」並參考日本對於有法定保存義務之文書或紀錄,以電子媒體保
存者,須注意防止故意或過失之偽造、竄改、刪除,及對於製作需有
明確之責任規範,以確保資訊之真實性,爰明定修正條文第一項第一
款及第五款。另增訂第一項第二款,以防止竄改。另現行條文第一項
移列至修正條文第一項第三款、現行條文第二項移列至修正條文第一
項第四款,並酌修文字。
三、因應發生醫事人員未攜帶醫事人員憑證或無法立即執行電子簽章等突
發事件,致無其他補救措施可於二十四小時內完成電子簽章,醫療機
構實務上係採用醫事機構憑證簽章代替,爰增訂第二項;惟本法第六
十八條第一項規定醫療機構應督導其所屬醫事人員於執行業務時,親
自記載病歷或製作紀錄,並簽名或蓋章及加註執行年、月、日,爰醫
事人員仍應於事後完成補簽。
|
電子簽章,除前條第二項規定外,應憑中央主管機關核發之醫事人員憑證
為之。但醫療機構訂有符合電子簽章法規定之其他簽章方式者,得依其方
式為之。
前條第二項醫事機構憑證與前項醫事人員憑證及其附卡、備用卡之核發、
換發、補發,由中央主管機關自行或委託民間團體辦理,並得收取費用;
其費額,依醫事憑證收費標準之規定。
〔立法理由〕 一、條次變更。
二、第一項酌修文字。
三、配合現行實務作業,明定收取證照費之費額依醫事憑證收費標準,爰
修正第二項文字。
|
第三章 儲存、銷毀及交換
|
本法第七十條第一項所定病歷保存期間內,電子病歷之存取、增刪、查閱
、複製與其他相關事項,及其執行人員、時間與內容,應保存完整紀錄。
〔立法理由〕 現行條文第三條第三款及第五條合併移列至本條,現行條文之「查核」及
「查驗」,意指「以備查核」,非「核定」之用意,爰予以刪除。
|
醫療機構依本法第七十條第二項規定,將電子病歷移轉由承接者保存時,
應將移轉之原因、對象、方法、時間、地點及受移轉對象得保有該電子病
歷之合法依據,製作紀錄交由承接者至少保存五年。
〔立法理由〕 一、本條新增。
二、醫療機構因故未能繼續開業,將病歷移轉由承接者保存時,醫療機構
原有電子病歷之移轉應留有紀錄,並參考醫院個人資料檔案安全維護
計畫實施辦法第十六條紀錄至少留存五年之規定,增訂本條。
|
醫療機構儲存電子病歷之電腦、自動化機器或其他電子媒介物(以下併稱
儲存媒體),於報廢、汰換或轉作其他用途時,應採取適當措施,確保電
子病歷資料完全移除或清除,而無洩漏之虞;儲存媒體無法完全移除、清
除或可事後還原資料者,應進行實體破壞,使其無法使用。
〔立法理由〕 一、本條新增。
二、病歷為特種個人資料,又本法第七十二條規定,醫療機構及其人員因
業務而知悉或持有病人病情或健康資訊,不得無故洩漏,爰明定醫療
機構儲存電子病歷之電腦、自動化機器或其他電子媒介物之報廢、汰
換等相關規定。
|
醫療機構依本法第七十條第二項、第四項銷毀電子病歷時,應記錄銷毀之
人員、方法、時間及地點,並保存紀錄至少五年;委外銷毀時,亦同。
執行前項銷毀,應派人全程監視確認已完全銷毀,並拍照存證。
〔立法理由〕 一、本條新增。
二、明定醫療機構銷毀電子病歷之程序,以臻明確。
|
醫療機構得將下列資料,以電子方式轉錄為電子檔案保存;轉錄後,應檢
視電子檔案內容與原件相符,並以醫事機構憑證簽章封存後,報直轄市、
縣(市)主管機關備查,始視同電子病歷:
一、依本法或其他醫療法規規定,應以書面同意且併同病歷保存之文件。
二、醫療機構電子病歷實施前既有之紙本病歷。
三、其他依法令規定應併同病歷保存之文件、資料。
前項原件,得免以書面方式保存,且不受本法第七十條第一項保存期間之
限制。
醫療機構銷毀第一項原件紙本文件、資料時,應記錄銷毀之明細、方法、
時間及地點,並保存紀錄至少五年。
〔立法理由〕 一、本條新增。
二、查醫療相關法規應以書面為之之文件(如本法第六十三條第一項手術
同意書及麻醉同意書、同法第六十四條第一項侵入性檢查同意書及侵
入性治療同意書、同法第七十九條第一項人體試驗同意書、安寧緩和
醫療條例第四條預立安寧緩和醫療暨維生醫療抉擇意願書、同條例第
七條不施行心肺復甦術同意書及不施行維生醫療同意書、同條例第六
條撤回預立安寧緩和醫療暨維生醫療意願聲明書意願書、緊急醫療救
護法第三十四條救護紀錄表等),雖非屬本法所稱之病歷,仍係需儲
存且應併同病歷保存之文件,爰參照電子簽章法第五條第一項前段「
依法令規定應提出文書原本或正本者,如文書係以電子文件形式作成
,其內容可完整呈現,並可於日後取出供查驗者,得以電子文件為之
。」及第六條第一項「文書依法令之規定應以書面保存者,如其內容
可完整呈現,並可於日後取出供查驗者,得以電子文件為之。」之內
容,明定第一項規定。
三、第二項「原件」係指原為紙本之病歷或併同病歷保存之文件、資料。
另明定原件之保存規定。
四、為確保醫療機構得銷毀之電子病歷無洩漏之虞,並考醫院個人資料檔
案安全維護計畫實施辦法第十六條紀錄至少留存五年之規定,爰明定
第三項銷毀紀錄之內容及保存年限。另「明細」係指第二項所稱原件
之種類、存放期間、病歷號碼等資訊。
|
中央主管機關或經中央主管機關認可之機關及公、私立機構,得設置電子
病歷交換平臺,供醫療機構進行跨機構電子病歷交換或利用。
醫療機構進行電子病歷交換或利用時,應以前項平臺為之。但第六條第二
項但書各款醫療機構使用同一系統者,不在此限。
第一項電子病歷交換格式、簽章與時戳及其他相關事項,由中央主管機關
公告之。
〔立法理由〕 一、本條新增。
二、醫療機構進行電子病歷交換,應考量其資通安全及專業品質,爰於第
一項明定除中央主管機關外,設置電子病歷交換平臺之機關(構)須
經中央主管機關認可。至於認可事項,依第三項規定辦理。
三、醫療機構委託所屬醫療法人或其他法人、所屬學校之其他附設醫院或
所屬機關設立之其他醫院建置系統者,與所屬醫療法人或其他法人、
所屬學校之其他附設醫院或所屬機關設立之其他醫院進行電子病歷交
換或利用時,不同於第一項所稱之「跨機構」,爰明定第二項規定。
四、為確保醫療機構進行電子病歷交換之一致性,中央主管機關已訂定多
項病歷表單交換格式、簽章與時戳及其他相關事項,供各醫療機構遵
循;為明確其法源依據,爰明定第三項規定。
|
醫療機構依前條第一項交換平臺為電子病歷交換或利用時,應經病人同意
,始得為之。但病人情況緊急,無法取得或未能及時取得同意者,不在此
限。
前項病人為胎兒時,應得其母同意;為限制行為能力人或受輔助宣告之人
時,應得其本人及法定代理人或輔助人同意;為無行為能力人或受監護宣
告之人時,應得其法定代理人或監護人同意。
第一項病人為無意思能力之成年人,未能依前項規定辦理時,應取得親屬
或關係人之同意。
〔立法理由〕 一、本條新增。
二、為確保病人能決定自身病歷資料是否由醫療機構進行電子病歷交換或
利用,爰參考醫療法第六十三條醫療機構實施手術應告知病人相關事
項並經其同意之規定,及明定同意權人之適用規定及順序,增訂本條
。
|
第四章 附則
|
依本法或其他醫療法規規定,應以書面同意且併同病歷保存之文件,得依
電子簽章法之規定,以電子方式為之;並得應相對人要求,交付紙本或以
電子方式提供。
〔立法理由〕 一、本條新增。
二、為達無紙化之目的,明定醫療相關法規應以書面為之之文件,得參考
電子簽章法第四條第二項規定,以電子文件方式製作與貯存。另因應
部分民眾習慣簽具紙本文件,爰增訂並得應相對人要求交付紙本之規
定。
|
電子病歷個人資料之保護,本辦法未規定者,依個人資料保護法、醫院個
人資料檔案安全維護計畫實施辦法及其他相關法令之規定。
〔立法理由〕 一、本條新增。
二、本辦法涉及之個人資料倘屬電子病歷範疇者,優先適用本辦法。本辦
法未規定者,依個人資料保護法及該法第二十七條第三項授權訂定之
醫院個人資料檔案安全維護計畫實施辦法或其他法令之規定。
|
本辦法中華民國一百十一年七月十八日修正施行前,醫療機構已委託受託
機構建置、管理系統者,應自修正施行之日起一年內,依第九條規定辦理
。
本辦法中華民國一百十一年七月十八日修正施行前,機關及公、私立機構
已建置之電子病歷交換平臺,應自修正施行之日起一年內,取得第十八條
第一項之認可,並符合第十八條第三項規定。
〔立法理由〕 一、本條新增。
二、因應法令修正,給予醫療機構及機關(構)緩衝期間。
|
本辦法自發布日施行。
〔立法理由〕 條次變更。
|