醫院電子病歷電子簽名需求分析及實施方案*

史森中

(陸軍軍醫大學大坪醫院野戰外科研究所信息科 重慶400042)

1 引言

近年來電子病歷(Electronic Medical Records，EMR)在各大醫療機構得到廣泛應用，陸軍軍醫大學大坪醫院也上線該系統，這順應醫療信息化發展趨勢，也符合信息化應用向臨床發展的迫切需求。但是EMR為臨床工作開展提供便利的同時也帶來新的挑戰，由于系統應用前期醫院更注重其功能性，較少關注其數據安全，沒有統一的標準規范來管理，致使許多患者及家屬往往對EMR數據的真實性、安全合法性存在諸多疑問[1]。近年來醫院信息系統在醫療機構得到很好的發展及應用，管理層更加重視運用電子簽名來取代手寫紙質簽名，從而減少紙質文檔、病歷存儲的同時還能增強患者合法權益的保護、提升法律效應。

2 電子病歷面臨的安全問題

2.1 身份驗證

此前醫院信息系統的身份驗證相對薄弱，EMR也不例外，二線、三線醫師將賬號和密碼交予一線醫師，導致存在冒用他人賬號、密碼登錄查看病歷記錄，甚至修改病歷內容的情況。此外醫師大多使用簡單設置的數字密碼，極易被猜測識別，一旦出現醫療問題及糾紛，病歷內容極易被篡改，很難追究具體相關責任人，更加難以定責和取證。

2.2 數據存儲安全

以往EMR數據直接存儲于醫院數據存儲服務器，數量巨大，難以進行加密，也容易遭到不法入侵，而醫院信息系統中沒有相應措施進行驗證，無法甄別EMR文件是否被篡改過。

2.3 實時性

每臺計算機終端內的系統時間可以任意設置，并非與當前時間一致，可能出現每臺終端計算機時間都不一致的情況。而國家相關標準中對電子病歷中患者各類診療記錄、各流程環節都有十分嚴格的要求，特別是實時性。因此在這樣的情況下難以達到電子病歷實時性的要求。

2.4 合法性

未實行簽名的醫療電子文書不具備法律效力，此前的醫院信息系統沒有可行的技術或方案解決該問題，因此電子簽名實施前醫療文書以及電子病歷無法核實數據真實性以及可靠性。

3 使用電子簽名的必要性

3.1 概述

2004年8月《中華人民共和國電子簽名法》正式發布，標志著電子文書已得到法律的認可與保護。數字醫療、智慧醫院的建設與發展離不開電子簽名的實施及應用。醫院電子病歷應具備法律效應，減少數據安全風險，生成法律認可的醫療文書，普及并規范電子簽名技術成為必不可少的舉措。2017年4月原國家衛生計生委發布《關于印發電子病歷應用管理規范(試行)的通知》，指出“有條件的醫療機構電子病歷系統可以使用電子簽名進行身份認證，可靠的電子簽名與手寫簽名或蓋章具有同等法律效力”[2]。

3.2 實現可追溯性

電子病歷系統用戶參與其各個核心環節，醫護人員所提交的醫療文書、診療記錄等必須可追溯、追責。每個表單以及各項操作加以數字簽名能夠起到與手寫簽名或蓋章相同效果，使操作者無法否認個人操作行為[3]。

3.3 實現無紙化管理

此前大坪醫院病歷保存是經醫務人員人工打印裝訂，由醫院病案管理員統一收集進行分類、核對、撿入后蓋章保存。由于未實施電子簽名前其文書以及數據無法得到法律認可，保存并無意義，只能采取較為原始的紙質病案流程保管。原衛生部明確指出醫療機構住院病案存放不少于30年，門(急)診病案存放自患者最后一次就診之日起不少于15年，因此醫療機構紙質病案日積月累、不斷增加，對存放空間與環境、人力和物力資源等方面帶來極大挑戰，加大醫院在病案管理上的投入。

4 電子病歷CA認證實施方案

4.1 概述

數字證書及認證中心(Certificate Authority，CA)指發放、管理、廢除數字證書的第3方權威管理機構。CA認證對應用系統主要提供以下安全服務功能。一是身份認證。數字證書如同公民身份證，能夠證明授權使用者的身份，較身份證其多出一個公共密鑰(簡稱公鑰)，能夠確保公鑰與額定實體之間的聯系。系統登錄實施用戶與實體之間雙向認證機制，達到一人一證、一機一證、持證上崗的效果，如果沒有數字證書則不能登錄系統。二是數字簽名。保證證書持有者身份的合法性[4]，保護數據及數據單元的完整性并簽發證書，以防證書被偽造或篡改。三是可信時間戳。通過權威可靠的第3方公共時間服務機構以及法定時間源頒發具有法律效力的時間電子憑證，時間戳與電子簽名唯一對應[5]。其中包含電子數據的Hash值、產生時間、時間戳服務中心信息等。必要時其可作為時間的法律公證。電子病歷CA中心結構，見圖1。可信安全認證平臺為應用系統提供安全服務，主要通過應用系統調用安全中間組件來實現，安全中間件是為應用系統調用安全平臺的應用程序接口(Application Program Interface，API)，所有安全機制都由該接口來實現，包括證書驗證、數據庫接口、加密與解密、數字簽名、可信時間戳、黑名單查詢等[6]。

圖1 電子病歷CA中心結構

4.2 網絡架構

大坪醫院至今仍沿用基于客戶機/服務器(Client/Server，C/S)與瀏覽器/服務器(Browser/Server，B/S)架構開發的“軍字一號”醫院信息系統(Hospital Information System，HIS)，這是一套極為復雜的綜合系統，在此基礎上實現第3方可靠認證需要對系統進行改造，如通過CA技術來實現認證。醫院在本地應用服務器前端需要架設區域CA安全網關，醫院在進行使用者身份認證時需要將認證信息發往建立在市衛生局的注冊機構(Registration Authority，RA)分中心。分中心通過雙鏈路與區域中心進行聯通。其應用結構，見圖2。

圖2 電子病歷CA認證應用結構

4.3 電子簽名工作流程

4.3.1 證書申請 使用電子病歷的醫護人員必須申請與其身份相對應、由CA中心簽發的數字證書。數字證書常稱為密匙，其以介質(USB接口密匙)的方式存在[7]。是網絡用戶身份證，主要包含身份信息和本人的兩個私鑰，即加密和簽名私鑰。用于系統網絡中各類用戶身份信息核實與確認，實現數字加密以及簽名授權等。

4.3.2 身份認證 醫務人員在使用醫院電子病歷系統時必須插入密鑰，同時通過EMR登錄界面輸入密匙PIN碼，系統調用安全中間件接口，讀取證書資料并驗證PIN碼的正確性，再由安全平臺的證書查詢驗證服務系統來完成對數字證書合法性的驗證[8]，用戶身份認證后可進入系統。數字證書身份認證過程，見圖3。

圖3 數字證書身份認證過程

4.3.3 數字簽名 在對電子病歷進行記錄、修改和保存時必須進行用戶數字簽名以及身份驗證，以此保證電子病歷的安全可靠性以及法律效力。具體包括以下幾類情況。(1)醫師在EMR系統中記錄病歷時的電子簽名。醫師完成病歷記錄時系統調用數字簽名模塊，以私匙的形式進行數字簽署，同時加蓋時間戳來確保時間準確性，產生的簽名及時間數據保存到電子病歷中，而保存后的數字簽名數據將不可修改，形成可靠的病歷資料。(2)采集醫療儀器數據生成電子病歷簽名。患者在使用醫療設備進行監護檢查時會產生大量醫療數據，如影像、生化檢驗信息等，醫護人員當場通過信息系統來確認，確認后的數據信息保存為電子病歷的一部分，最后通過該醫護操作人員數字證書以及私鑰進行簽名確認，具體過程與病歷書寫及修改時數字簽名過程基本一致。(3)調用和查詢EMR中的數字驗簽。存儲于數據庫中的EMR信息被調閱查詢時，為保障EMR系統內病歷數據的完整、準確性，系統需要驗簽病歷信息數據。(4)對已完成的EMR進行修改。醫師在對已完成的電子病歷進行再次修改時系統會對每次修改進行數據記錄，每次會產生一條修改記錄，需要醫師進行數字驗簽后才得以保存，以便為不良事件發生提供病歷的質量追溯及法律依據。

4.3.4 驗簽服務 驗證保存于EMR中簽名數據的真實性，由明文電子病歷信息驗簽和蓋戳時間明文驗證[9]。在完成對EMR數據信息讀取后，通過數字驗簽中間件在醫生的數字身份證對公匙進行簽名后進而驗簽EMR病歷信息內容，此時會生成驗簽數據，當簽名數據與驗簽數據相對應時可調用EMR中患者信息。驗證保存于數據庫EMR的正確性，也包括明文電子病歷信息驗簽和蓋戳時間明文的驗證，過程同上。時間戳驗證時，可信時間戳由我國唯一專業、權威第3方時間戳服務機構頒發，不能被篡改和偽造。只有蓋戳數據與驗證數據相同(所調用和查詢的電子病歷時間正確)才能證明系統所調用和查詢電子病歷信息是正確、可靠的，保證EMR的不可抵賴性。對于系統登錄、查詢、錄入、修改、刪除等都有可信的操作記錄日志[10]。

5 結語

大坪醫院通過電子簽名的實施與應用建立統一的安全認證機制，醫生可以檢索醫師電子簽名來核對病歷書寫時間，進而對三級查房等情況進行自動質量管控。病房護士無需再審核轉抄手工簽字，核對條碼，由責任護士立即執行，臨床醫囑執行時數字掃描查對后可實現在設備上生成電子簽名。醫師電子簽名并非只是簡單地將紙質病歷手寫簽名轉變為CA認證數字簽名，而是從提高醫院管理水平與醫護診治工作效率入手，有助于實現醫院醫療管理模式中流程的優化、安全保障。大坪醫院實現病歷文件、醫療文書、檢驗單據等醫療文件的無紙化管理，為醫院電子病歷封存過程提供支持。