ESG-醫院治理

為什麼醫院也需要「資安」？
　　當您走進醫院，不論是掛號、看診、檢查或領藥，背後其實都有一個龐大的資訊系統在運作。這些系統負責儲存您的個人資料、病歷、檢驗報告、影像檔案，甚至是用藥紀錄。在過去，醫院的檔案可能是鎖在櫃子裡的紙本病歷；但如今，幾乎所有資料都數位化並連上網路，雖然便利，但也面臨駭客攻擊與資料外洩的風險。
　　
　　在數位醫療快速發展的今天，醫院的營運與醫療服務高度依賴資訊系統，包含醫療資訊系統（HIS）、醫療影像儲傳系統（PACS）、電子病歷系統（EMR）、檢驗資訊系統（LIS）、護理資訊系統（NIS）、藥品管理系統等。然而，醫療資料同時具備高度敏感性與高度價值性，已然成為駭客攻擊的熱門目標。近年來，國內外已有多起醫院遭「勒索軟體」攻擊的案例。駭客入侵系統後，會加密病歷與檢驗資料，要求支付贖金才能解鎖；若拒絕，駭客甚至可能將資料公開上網。這不僅影響醫療服務，也會對病人的隱私造成重大威脅。

       因此，將資訊安全納入醫院治理，不僅是法規遵循的需求，也是維持醫療品質、保障病人權益與維護醫院聲譽的核心要務。

什麼是勒索軟體攻擊
　　勒索軟體是一種惡意程式，會鎖住您的檔案並要求付錢才能解鎖。對一般人來說，可能是照片、文件被鎖住；但對醫院來說，可能是急診室的病歷系統、手術室的影像設備無法使用。
在醫院中，這種攻擊可能會造成：
* 診療延誤：病歷資料打不開，醫師無法即時掌握病情。
* 檢查停擺：放射影像或檢驗結果無法傳送，病人需等待。
* 隱私外洩：個資可能被駭客販售或公開。

醫院怎麼保護您的資料
　　我們的醫院在資訊安全上有一套完整的防護策略，可以用「三道防線」來理解：
* 制度與規範
* 訂定資通安全政策與醫院個人資料檔案安全維護計畫，確保資訊的CIA三大特性：機密性（Confidentiality）、完整性（Integrity）與可用性（Availability），並明確規範資料如何蒐集、處理、利用與銷毀。
* 與所有合作廠商簽署資通安全責任條款，確保外包服務也遵守同樣的標準。
* 技術防護
* 部署防毒系統、防火牆、入侵偵測與防禦系統（IDS/IPS）、端點偵測與回應（EDR），時時監控異常流量。
* 針對重要系統實施異地/離線備份，即使遭攻擊，也能快速恢復。
* 採用「最小權限原則」，每位醫護人員只能存取與工作相關的資料。
* 定期進行弱點掃描與滲透測試，並設置零信任架構（Zero Trust）控管跨網域存取。
* 人員教育與演練
* 定期舉辦資安教育，教導同仁辨識釣魚郵件與可疑連結。
* 每年進行資安事件應變演練、災難復原演練（DR Drill），模擬系統當機時的應變流程，確保臨床服務不中斷。

民眾也可以做的三件事
　　資訊安全不是醫院單方面的責任，您也可以一起守護資料安全：
* 慎用公共Wi-Fi
       在咖啡廳或車站使用Wi-Fi查詢就診資料，可能被攔截，建議改用行動數據或VPN。
* 不要輕易點擊陌生連結
      若收到自稱醫院寄來的簡訊或Email，要先確認來源是否正確，再點擊或回覆。
* 就診時主動關心資料使用
        若需簽署同意書，可詢問資料保存期限與使用範圍，保障自身權益。

近期醫療資安事件啟示
　　　2025年初，台灣有多家醫院遭勒索軟體攻擊，造成系統中斷與病人資料外洩疑慮。雖然多數醫院已迅速啟動備援系統，但事件提醒我們：
* 資安事件隨時可能發生。
* 有演練、有準備的醫院恢復更快。
* 全員參與是關鍵：從院長到每位員工，甚至病人，都要有資安意識。

我們的承諾
　　作為守護健康的夥伴，我們承諾：
* 持續投資最新資安技術
* 定期檢視與改善資安流程
* 以最高標準保護每一位病友的資料

最後的小提醒
　　如果您在就診後收到任何可疑訊息，請透過院方官方客服查詢，不要直接回覆或點擊不明連結。您的信任，是我們最重要的資產。未來我們也會持續分享資安知識與醫療資訊，讓大家在享受便利醫療服務的同時，也能安心無虞。