美國衛生及公共服務部提出策略草案,以緩解健康資訊科技對醫護人員所造成的負擔
美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)依21世紀醫療法(21st Century Cures Act)於2018年11月28日公布由國家健康資訊技術協調辦公室(Office of the National Coordinator for Health Information Technology, ONC)與美國聯邦醫療保險和補助服務中心(Centers for Medicare & Medicaid Services, CMS)共同起草的「減輕使用健康資訊科技及電子健康紀錄所造成的管制與行政負擔之策略(Strategy on Reducing Regulatory and Administrative Burden Relating to the Use of Health IT and EHRs)」草案,以緩解健康資訊科技(Health Information Technology)於臨床使用的負擔。
雖然資通訊科技的進步促進許多產業的發展,卻在醫療產業造成應用上的問題,如臨床醫師會花費更多的時間、人力成本於登載電子健康紀錄,而壓縮與患者溝通的時間。為改善這些問題,此草案針對臨床紀錄建檔(Clinical Documentation)、健康資訊科技的可用性與使用者經驗(Health IT Usability and the User Experience)、電子健康紀錄報告(EHR Reporting)、及公共衛生報告(Public Health Reporting)四大議題提出相對應的策略及建議採用的措施。並以三個主要方向為討論主軸:降低臨床醫師紀錄患者健康資訊所耗費的人力時間成本、降低臨床醫師、醫院與健康照護機構(health care organizations)為達到報告規範標準而耗費的人力時間成本、及促進電子健康紀錄在使用上的功能性與直覺性(functionality and intuitiveness),以期能促進醫病溝通,並進一步完善健康照護環境。此草案在2019年1月28日前開放公眾提出建議,並預計於2019年年底公布最終版本。
本文為「經濟部產業技術司科技專案成果」
謝易昕
法律研究員 編譯整理
Department of Health and Human Services, HHS Issues Draft Strategy to Reduce Health IT Burden, Nov. 28, 2018, https://www.hhs.gov/about/news/2018/11/28/hhs-issues-draft-strategy-to-reduce-health-it-burden.html (last visited Dec. 10, 2018)
Department of Health and Human Services, Strategy on Reducing Burden Relating to the Use of Health IT and EHRs, https://www.healthit.gov/topic/usability-and-provider-burden/strategy-reducing-burden-relating-use-health-it-and-ehrs (last visited Dec.10, 2018)
日本內閣府網路安全戰略本部(サイバーセキュリティ戦略本部)於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧(2020年及びその後を見据えたサイバーセキュリティの在り方(案)-サイバーセキュリティ戦略中間レビュー-),針對網路攻擊嚴重程度,訂立網路安全判斷基準(下稱本基準)草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀,為使相關機關可以做出適當之處理,進而可以迅速採取相應之行動,特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論,將於2017年年底發布相關政策。 本基準設置目的:為了於事故發生時,具有視覺上立即判斷標準,以有助於事故相關主體間溝通與理解,並可以做為政府在面對網路侵害時判斷之基準,成為相關事件資訊共享之體制與方法之基準。 本基準以侵害程度由低至高,分為第0級至第5級。第0級(無)為無侵害,乃對國民生活無影響之可能性;第1級(低)為對國民生活影響之可能性低;第2級(中)為對國民生活有影響之可能性;第3級(高)為明顯的對國民生活影響,並具高可能性;第4級(重大)為顯著的對國民生活影響,並具高可能性;第5級(危機)為對國民生活廣泛顯著的影響,並具有急迫性。除了對國民及社會影響,另外在相關系統(システム)評估上,在緊急狀況時,判斷對重要關鍵基礎設施之安全性、持續性之影響時,基準在第0級至第4級;平常時期,判斷對關鍵基礎設施之影響,只利用第0級至第3級。 本次報告及相關政策將陸續在一年內施行,日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作,按照統一之標準採取措施,並依據資訊系統所收集和管理之資料作出適當的監控及觀測,藉由構建之資訊共享系統,可以防止網絡攻擊造成重大的損失,並防止侵害持續蔓延及擴大,同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」,而日本以國民生活之影響程度標準列成0至5等級,其區分較為精細,且有區分平時基準及非常時期基準等,日本之相關標準可作為綱要修正時之參考。
英國提出通訊資料法之草案英國內政部於2012年6月提出「通訊資料法」之草案(Draft Communications Data Bill),並將於10月舉行公聽會討論。 所謂通訊資料,非指通訊內容本身之資料,而係指通訊過程中所留下的相關紀錄性資料,包括通訊帳號所有人之資料、通訊之時間、長度、來源、位置等。而目前蒐集通訊資料之用途,多半為犯罪之偵防、避免緊急危難或反恐怖活動。其所牽涉之議題重點則為向提供通訊服務之公司調閱相關資料時,該公司是否有提供之義務,及調閱機關是否有相關權限或對資料之應用是否符合調閱之目的。 此次所提出之草案,主要可分為三大部分:第一部分賦予公務機關調閱資料之權限,並規定使用該等資料過程中,相關的安全保護措施與法定程序要求。第二部分規定調閱資料所必須的法定審查流程,包括主管機關內具備權限的高階主管,應依據比例原則,決定是否可調閱資料,並在一定情況下,須經司法機關審查。另外,國務大臣應建立一定審查機制,審核各主管機關之調閱目的與調閱程序恰當與否。最後,第三部分則是有關提升審查制度運作可能性之規定,諸如明訂各個機關所享有之調閱權,以及提供郵務及電信業務經營者相當之資源以配合機關調閱資料之需求。
以「公私夥伴關係(PPP)」發展科技之作法近來常聽聞各國以公私夥伴關係(Public-Private Partnership, PPP)之模式發展產業科技,PPP故名思義,係指結合公私部門之力量,以共同達成公共政策目標之合作模式。公部門可借重私部門的專業、經驗與品質,使其服務更有效率,私部門也可得到政府與政策之支持。 如今科技進步程度往往可代表ㄧ國之競爭力,惟科技研發需投入大量成本,因此各國多有針對科研補助之相關政策,從早年的單方補助,到如今強調公私合作進行科研的PPP模式。各國亦提出各種產官學合作研發的模式或組合之立法或相關政策。例如成立獨立非營利法人讓各項研發活動進行更方便、研究設施設備共享更容易的日本「技術研究組合」、芬蘭之SHOKs。荷蘭近來亦大力推行PPP研發之策略。德國之高科技領先戰略計畫( Spitzencluster-Wettbewerb)亦以區域聚落(該區域聚落即包含產業界、大學及其他相關學術機構)為單位,藉競爭給予補助的方式,促成該地區產官之緊密合作。
美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。 本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。 生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。