甫於2001年10月底三讀通過，電子簽章法通過後，政府和各行各業莫不積極準備公開金鑰基礎架構（PKI）的應用，其影響不亞於其他行業的應用。要讓電子化並系統發揮效能，首先要確立電子化病歷的法律地位。

在台灣醫院診所，約有60﹪以有電腦系統，並將病歷電子化。但由於醫師的簽章不是電子化，就仍需印出病歷，傳計和存除本病歷才算合法。這樣使得原病歷更厚，浪費許多人力、物力。健保局雖然已經提供電腦連線申報系統，但因會計法限制，醫院和診所仍需郵寄紙本會計憑證。

電子簽章法通過，確立電子簽章與紙上簽章有同等法律效力。這對醫療保健業實施電子病歷和電子化保健申報。並發揮電子系統效能，有極重要的推動作用。電子簽章是由PKI系統來產生並管理和支援的。電子簽章在電子病歷的重要性，使得PKI在醫療保健業的應用成為醫療保健業IT系統規劃的重要層面。

醫療程序與病歷的電子化，可提高病歷資料傳輸的準確性、即時性和便利性。有助於病歷的透明化，便於患者掌握自身的病歷紀錄，更便於跨醫院、跨地區的急診救治。電子病歷還可以節省病歷存放空間，提高使用效率、降低維護成本，對於改善醫療機構的服務品質和管理有相當地助益。

IT應用改善醫療服務品質

為了使用電子化資訊技術來改善醫療及保險服務品質，美國政府在1996年通過了健康保險可攜性及責任法案（HIPAA法案），推動各主管機構制定醫療與保險資料編碼和交換的標準。 HIPAA 法適用於所有醫療機構、醫療保險公司、雇主和醫療資訊服務機構。

相對HIPAA法案要求而制定的電子交換與標準編碼法於2000年八月頒布實行。此法制定的標準化編碼和交換規格，將使醫療紀錄和醫療保險費用申報流程標準化和簡化，減少龐大的紙面作業，預期在未來十年將為美國的醫療業和醫療保險業節省數百億美元的費用。

HIPAA法案的目的在於：

1. 保護民眾在換工作期間，仍能保有醫療保險。
2. 制定安全與個人隱私標準法規，確保個人隱私和患者權利。
3. 制定醫療及護理服務機構的財務資料的電子編碼和交換標準，提高醫療保險申報流程的便利性和準確性。
4. 以電子化和標準化辦法促進醫療體系及相關保險服務系統的效能，提昇服務品質、節省維護成本。

電子化病歷亟須建設 PKI

現在許多醫療院所都以使用電腦和網際網路，並將病歷存入電腦。但如不建置PKI安全驗證系統，就不能使用電子簽章，不能驗證使用者身份，難以排除假冒者和入侵者，這對於患者的隱私權和醫院的資料安全及財務安全都是極大的危險。

電子化病歷及電子保險申報系統應具有如下安全性機制：

• 資料的私密性（Confidentiality）
• 存取安全控制（Access Control）
• 身份認證（Authentication）
• 資料完整性（Date Integrity）
• 不可否認性（Non-Repudiation）

在網路化電子化醫院架構中，如要符合上述五項條件，一套完整的PKI機制絕對必要的。在電子簽章法通過後的社會環境下，如何建置一套PKI機制，應用電子簽章到身份認證、資訊加密、簽署文件的不可否認性，這些無疑都是醫療機構目前最關心的議題。

醫療機構採用PKI是一個必然的趨勢。 PKI在醫療機構的應用不侷限於電子病歷。不管醫療機構是自建CA並自發電子憑證或是採用外部憑證機構所發之電子憑證， PKI機制在網路化的醫院之IT系統中都是非常重要的一環。

針對醫療界的行業特點，業界集合PKI應用的經驗，提出如下醫療業PKI系統規格的建議：

1. 國際標準及認證：應符合FIPS140-1並有認證。
2. CA系統管理作業：應支援同一CA可發放不同應用的憑證。支援憑證格式自訂功能、且應提供可靠時間功能。
3. 金鑰與憑證管理機制：應能支援雙金鑰和單金鑰對機制。支援自動更新金鑰及憑證機制。支援金鑰對的Key Rrcovery機制，防止加密資料無法解密之問題。支援金鑰使用歷程追蹤。金鑰長度最少要1,024bits。
4. 稽核報表管理作業：所有CA服務的操作必須有完整紀錄。所有紀錄必須要完整性保護。
5. 用戶端支援規範：支援用戶單一登入機制。支援用戶漫遊登入。支援用戶端使用IC卡存儲金鑰，支援Microsoft及 Nrtcape瀏覽器軟體。支援即時檢查URL。
6. 使用者註冊管理規範：支援用戶自行註冊。支援批次註冊。支援系統管理員註冊。
7. PKI工業標準支援規範：支援PKCS7、PKCS10、PKIX。支援X509V3憑證。
8. 互通性支援規範：支援Peer-to-Peer及階層式的相互憑證。支援誇平台機制，可與入口網站存取管理機制整合。

【2002-02-18/資訊傳真周刊】