健保局開天窗 醫病資料全都露 | ||
|
健保局開天窗 醫病資料全都露
廖瑞宜/臺北報導 2003.12.25 中國時報 中華民國消費者文教基金會昨日指出,民眾竟可透過入口網站,進入中央健保局網站,查到個人病史、身份證字號、親屬姓名、電話、住址等以及醫生個人資料、實驗室檢驗報告等機密資料。網站業者認為這應是健保局防火牆設計或資料管理有問題所致。 消基會前日接獲一名中年病患電話申訴。這名病患上網搜尋與自己病癥相關資料時意外發現,只要到「雅虎奇摩」入口網站輸入醫生的名字,竟可查出醫生及病患個人機密資料,屢試不爽。這名病患相當擔心別人也可以用這種方式查到他的資料。 消基會秘書長程仁宏指出,照該病人提供的檢舉,在網站搜尋與醫生名字相關的資料中,出現一筆「病人案件管理系統」有關字樣,點選後即進入中央健保局網站。然後民眾可自由點選該網站許多醫生及其診所資料,被該名醫生診治過的病患個人資料即一覽無遺。 外露的病患個人資料包括身份證字號、居住地址、聯絡電話、出生年月日、病史、親屬姓名、家庭狀況。另外,民眾又可點選進入「第一階段處置情形:查詢表」,查出醫生個人身份證字號以及實驗室檢查報告,包括全套血液檢查分析數據、白血球分類計數等。 昨天應邀出席記者會的健保局官員也不知病患及醫生個人資料為何會外洩,場面相當尷尬。 程仁宏表示,當社會各界還在為健保IC卡是否載記病患病歷爭論不斷時,健保局網站卻把關不嚴,將病患個人資料全都露,簡直讓人看傻眼。 雅虎奇摩入口網站副理吳曉嵐昨天表示,入口網站搜尋都是搜尋各單位網站防火牆以外、可公開的資料,不會入侵各網站防火牆,擷取機密資料。健保局資料外洩,應是該局網站防火牆設計不當,或是資料管理不當所致。 消基會昨日公佈(○二)二七○○一二三四申訴熱線,專案協助民眾進行法律救濟。行政院消保會獲報後,也立即派消保官前往健保局瞭解網路資料外洩原因,要求健保局立即關閉該網站中相關區塊資料,並邀集衛生署、健保局、法務部及消基會等單位今日召開會議研商對策。 遭破解的是小型資料庫 黃庭郁/臺北報導 2003.12.25 中國時報 健保局官員昨天指出,被連結到雅虎搜尋引擎上的,是一個健保氣喘照護小型試辦計畫網路資料庫。究竟怎麼被連上、被誰連上的,是否有醫師ID、或密碼被破解、盜用,目前還在追查中。 健保局昨天緊急關閉幾個相關試辦方案的資料庫,並將通知相關醫療院所暫停網路登錄。健保局也澄清,收集全民就醫資料的健保就醫資料庫是封閉資料庫,與這次遭破解的小型網路資料庫不同,不可能會被連結,民眾不用擔心。 中央健保局總經理張鴻仁表示,遭破解的氣喘病患資料庫,是健保局民國九十年開辦「論質計酬計畫」之一的氣喘照護計畫。資料庫主要是供加入試辦醫師記錄追蹤病患資料使用。按理,進入資料庫必須有醫師及醫療單位的ID和密碼,密碼是由醫師自己設定,之後才能進入登錄病人與就醫資料。 張鴻仁坦承,資料庫到底是怎麼被連結到網路的搜尋引擎,現在還不清楚。初步推測,可能是某一位加入試辦計畫醫師的ID及密碼遭破解或者盜用,進而把整個資料庫掛在網路上。健保局除加緊追查,更為此向民眾道歉。 目前加入氣喘試辦計劃的醫療院所有三百一十家,病人數約三萬人,氣喘試辦計畫網路資料庫已緊急關閉。基於安全考量,健保局昨天也同時將糖尿病、結核病及乳癌等其他三個試辦計畫資料庫一併關閉。健保局關閉的四個網路資料庫,以糖尿病試辦計畫的病患人數與參與醫療院所最龐大,估計登錄的病患資料約五萬筆,參與醫療院所達五百家。結核病部分病人數為三千人,醫療院所約一百家。乳癌試辦計畫規模比較小,共有五家醫院及一千六百多名病人。 愛滋權益團體憂心 張瓈文/臺北報導 2003.12.25 中國時報 民眾透過入口網站,輕易搜尋到健保病人就醫資料,長期反對健保IC卡記錄病人就醫隱私的病患團體表示震驚和灰心,認為健保局一直未把病人隱私概念內化,進行政作業,才會發生一連串病人隱私不保的事件。明年元旦上路的健保IC卡若要將病歷納入,病患團體會持續抗爭。 愛滋感染者權益促進會理事長張維表示,這起事件雖和健保IC卡無關,但凸顯健保局行政作業根本沒有把病人隱私放在心上。如果連網站都輕易暴露病人就醫資料,難保健保IC卡不會洩露病人隱私。 程式凸槌 九千多筆健保資料曝光 【記者薛桂文、梁欣怡、楊清雄/報導】 健保病人資料外洩,引起社會譁然。中央健保局經過1天緊急追查,確定並非駭客搗亂,而是電腦程式設計不當,才發生不需密碼就能連結資料庫的錯誤;健保局也承諾,民眾若因此權益受損,健保局願負完全責任。 健保局指出,程式出錯的是「論質計酬」試辦計畫中的氣喘資料庫,其中雖有約3萬筆病人資料,只有臺北、中區、高屏3個分局的資料庫被連結到入口網站,實際資料曝光者為9231人。 健保局表示,若從一般管道進入這個資料庫,使用者必須輸入帳號及密碼,但因程式設計失誤,若採取連結方式,則可不需帳號、密碼,即進入資料庫。昨天發現錯誤後,健保局已立刻關閉系統,待安全問題解決,才會再度開放。健保局也強調,明年3月起,這些目前放在網際網路(Internet)的資料庫,都將改放到健保專屬私人網路(VRN),不對外開放,安全防護更嚴密。 健保局將寄信給所有資料曝光的民眾,一方面瞭解他們對試辦計畫的意見,一方面詢問他們近期內是否曾遭人搔擾、或因資料外洩而遭受損失,若民眾確有損失,健保局保證負責到底,即使要國家賠償,也絕不會迴避。 另一方面,行政消費者保護委員會則要求健保局負起完全責任,尤其是民眾若因資料外洩導致個人權利受害,健保局必須依照「電腦處理個人資料保護法」從寬認定並予以賠償。消保會除要求健保局主動通知資料可能遭外洩的民眾外,也應提醒這些民眾特別注意陌生人的來電、推銷或詐欺等情事。 法務部則認為,依照「電腦處理個人資料保護法」規定,個人資料被揭露,在理論上已認定遭侵害,民眾不需要再提出實際受害證據便可依法求償。依法,公務機關必須指定專人負責網路的安全維護,否則每人每一事件將可求償2萬元以上、20萬元以下的賠償。 立委昨天在立法院也抨擊健保局網站外洩資料,嚴重影響病人權益,要求健保局負全責;也有立委認為,健保IC卡上路在即,健保局卻出這種紕漏,IC卡應暫緩實施。 |