整合ISO 27001 & 27799與個人資料保護法應用於醫療機構之研究--以M醫院為例

Abstract

我國「個人資料保護法」已於2012年10月1日正式施行，然而，依據台灣醫院協會一項「醫院因應個人資料保護法問卷調查」統計，已完成因應措施之醫療機構，卻僅佔調查醫院總家數之4.73%，據調查其主要原因為對法律了解不足(佔72.78%)及員工對個資保護意識不足(70.41%)所致。健保局為因應電子化政府的推動，建置健保IC卡及電子病歷交換等技術，並輔以培訓醫院資訊安全種子人員，提供ISO 27001:2005資訊安全管理國際標準驗證服務，截至2013年2月8日全國已有93家通過驗證。 因此，本研究以ISMS:ISO27001:2005為基礎，運用「Gowin’s Vee Model」做為本研究之研究策略，於文獻端利用紮根理論彙整出ISO 27001管理要項(133項)與為醫療照顧產業的特殊屬性特別制定的ISO 27799:2008，整合於個資保護及個資法施行細則第十二條之「適當安全維護措施」，於技術上或組織上之11項必要措施；再運用P-D-C-A循環流程及林宜隆教授所提出之PLSE Model 四大構面，建立個人資料保護管理安全措施工作要項於醫療機構。再透過Gowin’s Vee Model方法端，以修正式德菲法進行專家問卷，取得專家一致性之評鑑項目後，建構本研究之［醫療機構個資保護遵循及評鑑作業表］。 最後，透過本研究之個案醫院進行實務端評鑑作業，以驗證本研究所建構之［醫療機構個資保護遵循及評鑑作業表］其可用性及有效性，為醫療機構提供一套完整涵蓋個資法施行細則第十二條所要求11項安全維護措施之Plan-Do-Check-Act個資保護遵循作業流程。對於已導入ISMS之醫療機構，亦能給予參考進行ISM調適，及進行個資保護措施檢討，為該醫療機構藉此評鑑表及早發現個資安全之缺口。