6-數位簽章技術於醫療產業之應用與探討newPPT - PowerPoint Presentation.PPT.ppt

Confidential 數位簽章技術於醫療產業之應用與探討 彭振興, Ph.D. 鉅仁科技(股) 公司副總經理 2007/04/04 簡報大綱 數位簽章簡介 數位簽章技術於醫療資訊系統之應用 使用者身份認證 電子病歷簽章 安全的資料儲存與傳輸 應用實例探討 衛生署電子病歷試辦推廣案(92年) -電子病歷索引中心 疾病管制局防疫資訊交換平台(95年) 醫療院所推動醫事憑證應用計畫(94年) 電子簽章 v.s.傳統簽名蓋章 電子簽章法立法原則 技術中立原則： 任何可確保資料在傳輸或儲存過程中之完整性及鑑別使用者身分之技術，皆可用來製作電子簽章，並不以「非對稱型」加密技術為基礎之「數位簽章」為限，以免阻礙其他技術之應用發展。本法爰採聯合國及歐盟等國際組織倡議的「電子簽章」（electronic signature）為立法基礎，而不以「數位簽章」（digital signature）為限，以因應今後諸如生物科技等電子鑑別技術之創新發展。利用任何電子技術製作之電子簽章及電子文件，只要功能與書面文件及簽名、蓋章相當，皆可使用。 契約自由原則： 對於民間之電子交易行為，宜在契約自由原則下，由交易雙方當事人自行約定採行何種適當之安全技術、程序及方法作成之電子簽章或電子文件，作為雙方共同信賴及遵守之依據，並作為事後相關法律責任之基礎；是以，不宜以政府公權力介入交易雙方之契約原則；交易雙方應可自行約定共同信守之技術作成電子簽章或電子文件。另憑證機構與其使用者之間，亦可以契約方式規範雙方之權利及義務。 市場導向原則： 政府對於憑證機構之管理及電子認證市場之發展，宜以最低必要之規範為限。今後電子認證機制之建立及電子認證市場之發展，宜由民間主導發展各項電子交易所需之電子認證服務及相關標準。 「非對稱型」數位加密技術 當金鑰1=公鑰(Public Key) 及金鑰2=私鑰(Private Key) 只有私鑰的持有者才可以解密 當金鑰1=私鑰(Private Key)及金鑰2=公鑰(Public Key)只有私鑰的持有者才可能產生加密結果 現代密碼系統的數位簽章大多植基於數學上因數分解(factorization) 、離散對數(discrete logarithm)、橢圓曲線(elliptic curve)等計算難題 數位簽驗章模式 憑證 (Certificate) 由一個憑證機構(certification authority, CA)針對使用者的個人身分資料及其選定的公鑰加以簽署後所作成的一個數位憑證，該憑證主要用來證明所出示的公鑰及所對應的使用者是否正確 GCA (政府憑證 – 研考會) HCA (醫事憑證管理中心 – 衛生署) MOICA (自然人憑證 – 內政部) 憑證的內容包含：版本及格式、流水號、CA名稱、CA所用之密碼演算法、有效期限、使用者名稱及身分資料、使用者公鑰、CA的簽章等(詳細內容可參考X.509標準) HCA 憑證種類 HCA 憑證申請流程 數位簽章技術於醫療資訊系統之應用 A.使用者身份認證 可結合LDAP功能的憑證管理伺服器 確認使用者身份，做好權限控管及操作稽核 B.電子病歷簽章： 電子病歷之鑑定性：可確定原報告醫師簽證與合法性。 電子病歷之不可否認性：原報告醫師不可否認其所簽證之報告。 電子病歷之完整性：可確定沒有被篡改、部分取代、加入或刪除等。 C.安全的資料儲存與傳輸： 經加密處理後儲存的資料，必須經解碼處理才可使用。 電腦系統間以SSL方式加密傳輸，可確保傳輸過程中資訊就算是被截聽，也無法得知資訊內容。 跨系統間的相互認證。 醫療機構電子病歷製作及管理辦法(1/4) 中華民國九十四年十一月二十四日行政院衛生署衛署醫字第 0940203636 號令訂定發布全文 7 條；並自發布日施行 依九十三年四月二十八日修正公布之醫療法第六十九條規定：「醫療機構以電子文件方式製作及貯存之病歷，得免另以書面方式製作；其資格條件與製作方式、內容及其他應遵行事項之辦法，由中央主管機關定之。」爰依上開規定訂定本辦法，其重點如下： 一、明定得免另以書面方式製作之電子病歷應符合本辦法規定。（草案第二條） 二、規範醫療機構電子病歷，其病歷資訊系統之建置，應具備之基本條件。（草案第三條） 三、醫療機構電子病歷之製作及貯存，應符合之規定。（草案第四條） 四、規範於電子病歷上之電子簽章，應憑中央主管機關核發之醫事憑證簽署並經中央主管機關加註時戳，且明定其收費之依據。（草案第四、五、六條） 醫療機構電子病歷製作及管理辦法(2/4) 第一條 本辦法依醫療法（以下簡稱本法）第六十九條規定訂定之。 第二條 醫療機構以電子文件方式製作及貯存之病歷（以下簡稱電子病歷），符合本辦法之規定者，得免另以書面方式製作。 第三條 醫療機構電子病歷，其病歷資