医院防统方不得不说的那些事

医疗行业中对信息安全系统，存在以下几种需求——1、保护核心数据安全的需求。2、三甲级医院需要通过信息安全等级保护三级，为此需要部署数据库审计系统。3、为响应国家政策，二级以上医院需采购防统方系统。

“非法统方”本质上是数据安全、信息安全问题，需要从管理和技术层面来防范。通过医院相关制度并配合防统方系统与数据库审计系统，从科技+制度来达到科技防腐的效果。

•2015年3月福州市某医院信息科人员非法统方，被判有期徒刑5年

•2014年11月广东省再掀医药反腐风暴，5家医院被通报批评

•2013年01月广东高州市人民医院统方回扣焦点访谈连续曝光

•2013年11月杭州某医院院长及副院长因统方事件被拉下马

•2012年12月河南省统方事件利益链中相关人等被检察院查处

•2012年6月湖南常德统方事件中相关责任人月入2万被当时检察院查处

•2012年5月浙江温州中医院因统方事件引起“回扣门”

•2011年6月浙江温州附一，附二医院“回扣门”

•2010年11月浙江杭州中医院，第四人民医院出现统方 “回扣门”

•2010年安徽某医院统方39万回扣被判刑

……

医院防统方的意义

“统方”是医院对医生用药信息量的统计。

但随着商业社会的一些不良现象的滋长繁衍，“统方”这个专有名词出现了词义的变异，成为某种特指。

“统方”特指在医药灰色产业链中，为商业目的的“统方”，其主要指医院中个人或部门为医药营销人员提供医院或部门一定时期内临床用药量统计信息，供其作为发放药品回扣等不良违法行为的重要参考依据。

非正常统方行为作为药耗回扣利益链条中的重要环节，既违反了《卫生部八项行业纪律》，同时触犯了中华人民共和国刑法第285条第2款，构成非法获取计算机信息系统数据、非法控制、计算机信息系统罪。

近年来，从卫生部到各省卫生厅，各级主管单位陆续出台若干项法律法规，严格禁止商业非法“统方”。然而，上有政策，下有对策。“统方”事件频频发生，屡禁不止，有关医药代表与医生、信息科人员勾结，非法获取医疗统方数据的报道层出不穷。

“在邵东县人民医院就发生这样一起案子，该院副院长兼神经内科主任通过医药代表，10年里收到药品回扣7万余元，为科室敛财近270万元。”

“山东冠县一医院药剂科主任收受回扣44万元获刑3年，该药剂科主任在药品采购活动中，利用职务上的便利，收受回扣442650元，并在药品选购等方面为其谋取利益。”

医院行风建设工作向来是医院纪委监察部门的重点工作，非法统方行为破坏了医院良好的公众形象，降低了医院的社会满意度，也加大了纪委监察工作难度。

国家严打统方的力度越来越大，检查标准也越提越高。国家卫计委组织专家成立专家组跨省交叉大检查，专家组会要求医院进行实际统方告警演练测试。

鉴于上述情况，各级各类医院迫切需要一套安全管理系统(防统方系统)，来对敏感信息进行有效监控，对违规的统方行为进行审计和追责，防统方系统不再是应付检查的工具。

防统方系统作为纪委监察部门管控医院行风建设的重要工具，不同于数据库审计系统，对界面翻译有着较高的要求。防统方系统可清楚的将技术语言翻译为何时、何人、使用何种方式操作，清晰明了、简洁易懂。

部署数据库审计系统的作用

除了医药信息，医院中还存储着大量的敏感信息，如患者健康信息、电子病历等等，这些重要信息的泄露同样会给医院及社会带来不良影响。

“2016年3月，深圳上千名孕产妇同样遭遇了产检信息被泄露，信息详细到孕周及预产期、居住地址、电话号码等。这些信息流入母婴护理及婴儿纪念品行业，让人不堪其扰，甚至遭受诈骗，损失钱财。”

除此之外，特殊病种的研究信息也会成为不法分子的目标，当不法分子将特殊病种用药及治疗数据贩卖给非法研究机构，最终受害的将是无辜的患者。

无论国外还是国内，都对医院保护病人隐私范围做过明确规定。

相关法规

美国早在1996年通过的HIPAA法案中，明确受保护健康信息(PROTECTED HEALTH

INFORMATION，PHI)的概念和范围，PHI指的是由相关机构持有的任何形式个人健康信息，包括健康状况、诊疗记录和支付信息。

《中华人民共和国侵权责任法》第七章第62条规定：医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。

《医疗事故处理条例》和《医疗机构病历管理规定》中的相关规定就体现了对患者隐私保护的内容，对于未死亡患者，如果未经其许可，即使是近亲属也无权查阅和复制相关的病历资料。

《卫生行业信息安全等级保护工作的指导意见》指出，三级甲等医院的核心业务信息系统以及国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健院等国家级数据中心信息系统安全保护等级原则上不低于第三级(即监督保护级)。

医院信息中心是维护医院信息系统的主要人员，也是医院信息安全事件中第一责任人，当信息泄露事件出现时，常常被怀疑。

某医院曾出现过非人为的信息泄露事件，医院发现系统中有窃取数据的行为，但一直没有查到泄露源头，医院领导为此很生气。信息科人员也一直不能找出证据，为自己辩白。通过部署数据库审计系统，经过现场重建，再现信息泄露过程发现，问题是出在医院信息系统自身出现的漏洞，导致系统在特定的时间自动窃取数据，到此，造成信息科和医院困扰的原因就被调查清楚了。

数据库审计系统满足了医院信息系统安全等级保护要求，并且能够做到事中告警、事后溯源，为医院追查信息泄露源头提供有力证据。

昂楷科技通过防统方系统和数据库审计系统的组合，以成功案例证明系统的真实效果，为减少医疗行业信息泄露事件提供支持。