背景信息
在医疗行业,有一个专业名词,叫做“统方”。顾名思义,其含义是医院对医生用药信息量的统计。
在医药灰色产业链中,为商业目的的“统方”,其主要指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量的统计信息,供其作为发放药品回扣等不良违法行为的重要参考依据。“统方”就天然成为建立医药回扣黑链的重要枢纽环节,已经成为国家和媒体关注的重要社会焦点问题。我国卫生部反复强调,对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。
2010年6月21日颁布的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、严加管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”
《中华人民共和国执业医师法》第37条规定:“泄露患者隐私,造成严重后果的要承担一定的刑事责任”。
《医疗机构信息系统安全等级保护基本要求》规定“网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据(如患者的基本信息、诊疗相关信息等)应采用加密或其他保密措施实现存储保密性”。
医院“统方”系统主要漏洞
- 系统本身存在漏洞风险。医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息。这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限相关功能提供的统方。如果HIS系统有漏洞,或者内部管理不慎都有可能造成信息泄露。
- 内部信息资源管理人员非法“统方”。医院信息中心人员负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户。这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限,从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径。
- 开发人员、维护人员非法“统方”。医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行非法“统方”。
- 黑客入侵医疗系统非法“统方”。