【医事行动凭证实例：高医附医】开放自带手机签核病历只要1.5秒，2千医护连院外网络都能随时随地签

“传统签核一份病历要6.5秒，现在用手机行动凭证签章App只要1.5秒！”高医附医资讯室智能研发组组长蔡文宗说道。这意味着，比起传统方法需要桌机搭配读卡机与医事人员卡，手机签核病历不只突破了地理位置限制，有网络和行动装置就可执行，而且签核时间，还可以比传统方法缩短了77％。这一点，更大获高医附医院内医护人员的好评。

医事人员行动凭证打破传统限制，不须桌机、读卡机也能签核病历

一般来说，医事人员执行医疗行为如看诊或签核时，都需要医事人员卡搭配读卡机，才能执行。就签核来说，根据医疗法68条规定，医生必须在24小时内完成病历签核，也就是说，医生看完当天所有诊疗后，必须在下班前签核所有看诊病人的病历。对护理人员来说，也是如此，必须在交班前，完成当日的护理工作纪录签核。而目前须签核的单张，就有150种以上，像是出院病历摘要单、住院医嘱单、门诊病历、护理记录、给药纪录、一般护理评估纪录等。

然而，一直以来，桌机并非医护人员的工作核心，但在医疗数字化的时代，医院桌机数量与医护人员数渐不成比例。再加上时间压力，签核病历往往造成医护人员不便。比如，高医附医护理人员超过了1,500位，而院内护理站电脑只有约250台，平均6个人共用一台，“护理人员得轮流等电脑，才能签章。”

为了解决这个问题，高医附医在两年前，决定开发医事行动凭证应用程序，来打破医护人员被实体医事卡和桌机绑住签核的局限。而蔡文宗，就是高医附医自主开发的核心成员之一。

行动凭证申请第一关是自评表，得符合七大类共40项资安要求

高医附医资讯室智能研发组组长蔡文宗指出，向卫福部申请医事行动凭证许可时，最有挑战度的就是自评表，须达成40项资安要求。​（摄影／王若朴）

卫福部早在2016年就开始规划医事人员行动凭证签发机制。隔年，台中荣总和高雄荣总率先成了卫福部医事行动凭证的试办场域，经过一年开发、上线使用，两家医院在2018年举办了成果发表。

高医附医也参加了这场活动，尽管当时医事行动凭证仍处于推动草案阶段，后续如何实施，还是未定数。但高医附医当时就认定，“行动化是未来医院的趋势，”蔡文宗回忆，他们在2018年初，就展开了医事行动凭证应用的开发专案，由资讯室5名同仁负责所有开发流程。

要开发医事行动凭证应用，首先得通过卫福部的核准才行。不只要到卫福部医事凭证管理中心（HCA）网站，填写医事行动凭证的申请单，还要以公文函送至HCA。接下来，高医附医得进行自我评量，也就是完成蔡文宗口中“最耗费心力”的自评表。

自评表是取得医事行动凭证的第一步，卫福部会依据自评表的回答内容，来审查医院是否能取得行动凭证管理服务窗口的资格。蔡文宗指出，其中最难处理的部分，就是针对行动凭证服务管理系统、行动凭证应用App所提出的40项资安要求。这些要求，可细分为七大类，分别是行动凭证管理服务窗口资格和权责、行动装置设备注册和管理、医事人员申办及废止行动凭证、金钥对产制及保护、行动凭证使用管理、应用程序设计安全、相关隐密性和安全性遵循说明等。

医院要落实这些资安要求时，他也点出其中需留意的重点，例如服务窗口应定期清查安装在行动装置上的凭证，或是行动凭证服务管理系统，应设计个人资料显示时的隐码机制。此外也要注意，同一位医事人员，最多只能拥有5张行动凭证，亦即一位医事人员最多只能用5台行动装置，来进行签核。

或像是为了防止重送攻击，行动凭证服务管理系统在使用者身份确认、申办、或废止行动凭证时，得采用一次性乱数或时间戳记才行。他坦言，由于资安并非团队的强项，光是这个表格，“高医附医送了7次才过关。”

完成自评表后，就可用来向卫福部申请行动凭证。通过申请后，HCA就会签发凭证给医院下载、进行封包测试。此时，HCA也会检查医事机构回传的封包格式。如果不通过，就会发回医事机构再检验，检查通过后，HCA才会开通认证，让医院能成为申办行动凭证的服务窗口，为旗下医护人员申请。

而封包审核，就是蔡文宗眼中的另一个挑战。他指出，封包测试要求医院需提交申请封包和废止封包，而且，封包必须包含HCA定义的资讯和顺序，比如医事机构资讯和案件签章值、案件内容和公钥等，再将这些资讯转换为Base64的代码乱码。一开始，高医附医IT团队不熟稔封包相关技术领域，也因此，花了许多时间学习，就连测试阶段，也被HCA退回多次。

不过，他认为，正因为HCA帮忙找出问题，才能顺利把封包做好。他也建议，医院进行封包测试时，“要连明文一起附上，便于HCA解译。”最后，2019年5月，高医附医终于通过医事行动凭证服务窗口的申请作业。

以自评表规划专案方向，分五阶段开发

向主管机关进行申办作业同时，高医附医也分五阶段，来开发医事行动凭证的相关应用。首先，早在专案规划阶段，高医附医直接根据这份自评表的架构和内容，来规划自家行动凭证专案的开发方向。团队将行动凭证应用程序划分为两项，也就是网页身份验证平台，及行动凭证应用App。

网页身份验证平台可供院内医护人员用来验证身份、管理装置，有助于防止装置遗失而遭盗用。至于App，还开发了两款，第一个是高医行动凭证App，医护人员可用来申请行动凭证、管理账号，或是切换院区；第二个则是电子病历App，可用来签核电子病历。

到了第二个阶段是系统开发。团队在开发App时，就不像第一阶段的顺利。由于卫福部提供的行动凭证申请，只支援两大手机操作系统iOS和Android，为了减少开发负担，一开始，高医附医IT团队选择了用一个可跨平台的原生行动应用开发框架React Native，只需要利用JavaScript开发出一个App版本，就能将写好的程式转换为可在iOS和Android系统所需的执行版本。

“如此一来，就不需要两组人马，来开发同一套App，”蔡文宗表示，高医附医便利用React Native，开发出第一支行动凭证App。

然而，就在第一支App开发完成后，却遇上Android版本更新。高医附医团队发现，所用的React Native还未支援到最新版的Android，导致刚完成的第一支App无法顺利运作。经过一翻讨论，高医附医最终决定，还是回头采用iOS和Android各自平台的原生语言Swift和Java来开发。“虽需两位工程师来分工维护，但如此才能够快速因应原生语言的变动，”蔡文宗说。

在操作流程上，高医附医的设计是，先让医生透过第一个高医行动凭证App，来申请装置绑定，借由App送出装置ID和员工编号至后台网页系统，医生再透过网页系统，以实体医事卡来验证身份。绑定成功后，医生可申请凭证，系统再封包给医事凭证管理中心审核。审核通过后，就会发出凭证至医院的管理平台，再由医院确认、发凭证给医生，让医生绑定装置。

再来，完成平台的身份验证后，医生就可使用第二个App，来进行电子病历的签章。特别的是，医生可使用私人手机或平板，透过院外网络来签核，像是直接用手机行动上网来进行签核。也因此，“医生等电梯的时间，也可用手机来签章，”不必像过往必须待在使用医院电脑、医事卡和读卡机，才能做到。

不过，为了资安考量，团队将病历签核App所能显示的资料量最小化，只以匿名式的患者姓名和病历单号来呈现，并未显示任何病历资料。因此，当医生签章时，只需点击姓名栏目即可。“如此一来，就解决了资料外泄的隐忧。”

采私人装置与院外网络，就连院外也能签核

这是因为，经团队分析，医院有3种方式来运用行动凭证App。首先是采公发设备、以院内网络连线，好处是行动装置与网络都由医院掌控，安全性最高，但由于采院内网络和公发设备，医事人员离开医院，就无法使用行动凭证了。

再来一种是采用自带装置（BYOD）和院内网络，优点是由医院管理网络、安全性高，且装置是个人自有的，不会有忘记登出的疑虑。但蔡文宗指出，这些BYOD设备得先由医院纳管，再加上设备连结院内网络，要是装置上存在恶意App，对医院来说风险反而非常高，而且，医事人员离开医院后就无法使用行动凭证了。

因此，他们决定采用最后一种，也就是采BYOD设备、连接院外网络。这样一来，医事人员离开医院依然能使用行动凭证，且设备使用方便、无须纳管，但有个病人个资外泄疑虑。为解决问题，团队将资料量最小化、病人个资匿名，也就是说，医护人员利用行动凭证来签核病历时，不会看到病历，只会显示匿名化的病人姓名与病历单号。此外，团队也以权限控管、https加密传输和时戳验证来加强App安全性。

完成开发阶段后，就进入功能测试阶段了。团队也找来院内病历室主任暨胸腔内科主治医师蔡明儒，由医生亲自参与App试用。测试流程包括行动凭证申请、电子病历签章、行动凭证废止，以及资料上传至电子病历系统等。测试过程就花了1～2个月时间，在这段期间，蔡明儒只要有门诊，都会利用手机来签核病历。而高医附医IT团队，则会察看签核完的病历，是否成功上传至电子病历系统。如果失败，就得以传统方法再签核一次，“还好测试期大致顺利。”

高满意度但使用率未大幅提高，新增推播通知改善问题

测试完成后，就进入第四阶段：上线推广。去年底，高医附医行动凭证系统通过-资安稽核后，便正式上线。不过，最初只针对医生发放行动凭证，后来才一步步开放范围，像是医师职类、护理职类人员申请。

现在，医护人员只要靠自己的手机或平板，开启病历签核App，就能够自行签章病历，不再需要桌机、医事卡和读卡机，打破了地理位置限制。根据高医附医统计，行动凭证缩短了签章时间，传统院内桌机实卡签章得花上6.5秒，改用行动上网连线的行动凭证签章作业，可以缩短到1.5秒。

为了推广，高医附医团队也在资讯室设置了服务窗口，来协助医护人员申请行动凭证。此外，他们也针对医生办理9场驻点说明，以及1场专门为护理人员开设的大规模教学大会。蔡文宗指出，医护人员对行动凭证反应热烈，上线至今已有2,000多名医护人员申请。

而且，“以往，医护人员几乎不会主动要求IT人员来安装IT系统，但这次却一致希望采用行动凭证。”而这款应用的流畅度和便利性满意度，更高达90%以上。

除了调查满意度，团队也分析了行动凭证的使用状况，这也是最后一个阶段：改善。“我们发现，行动凭证的24小时签章率并未明显提高，与网页版相当。”蔡文宗与团队后来意识到，医护人员并不会因为流程简化，而提高使用频率。于是，他们想出一招，在6月中开始加入推播提醒，每日早上7：30和下午5：30，会固定发送推播，提醒医事人员签核病历。多了这个功能，团队发现，行动凭证24小时使用率，从原本的89％提升至92％。

目前，高医附医已全院上线这套行动凭证系统，旗下体系医院大同和小港医院也已完成凭证申请，更有数百名医护人员使用。接下来，高医附医锁定旗下旗津医院和冈山医院，作为下一波导入对象。

高医附医医事人员行动凭证应用特色

 应用特色 1   医事行动凭证结合BYOD

医护人员得先安装高医行动凭证App，将个人医事行动凭证绑定到这只私人手机，完成身份验证后， 就可以在任何地点用自带设备，打开另一支电子病历App来签核。（图片来源／高医附医）

 应用特色 2   最多可绑定5台手机或平板

因为采取BYOD绑定私人装置的做法，一名医护人员最多可以绑定5个行动装置，手机、平板、Android或iOS的私人装置都可以绑定后来签核。​（摄影／王若朴）

 应用特色 3   网页版可管理多个绑定装置

高医附医将医事行动凭证应用分为网页系统和两支App。网页系统除了验证身份，还可用来管理多个绑定装置，避免装置遗失而泄漏资料。（图片来源／高医附医）