GUID (Global Unique Identifier)
「全域唯一識別碼」 (Global Unique Identifier, GUID)
近年來,個人資料保護法與醫療法、人體試驗法、人體生物資料庫等法案的通過,使得個資保護以及病例隱私成為醫療資訊中的重要議題。由於傳統的病歷號碼 (Medical Record Number, MRN) 以及身分證字號無法符合去識別化 (De-identification) 的需求,因此使用「全域唯一識別碼 (Global Unique Identifier, GUID)」 [1],成為產生去識別化身份代碼的關鍵技術。所謂 GUID,為一組獨一無二且去識別的身份代碼,研究人員能在不透漏病人的個人識別資訊 (Personally Identifiable Information, PII) 之下,利用單向雜湊函數 (One-way Hash Function) 的計算方式,產生出一組獨一無二的 GUID 編碼。由於單向雜湊函數不可逆推的特性,因此任何人皆無法從已知的 GUID 中,推算回任何個人識別資訊。除非擁有完整的個人識別資訊,才可輕易產生 GUID,以此確保去識別化之特性。在台灣目前由國家轉譯醫學與臨床試驗資源中心計畫下的生物統計與資訊中心,提供中文化的軟體應用服務。
GUID 產生機制
針對如何產生 GUID 的流程步驟,簡述說明如下:
[取得GUID]
可透過三種方式取得 GUID,(1) 單筆輸入產生 GUID;(2) 插入健保卡產生 GUID,以及 (3) 透過 Excel 批次產生 GUIDs。各方法之具體步驟如下:
*方法一:單筆輸入產生 GUID
- 在捐贈者簽署知情同意書 (Informed Consent) 後,研究人員可從醫院資訊系統 (HIS) 中,收集個人識別資訊 (PII),如:姓名、生日、性別等。
- 透過 GUID 客戶端程式,輸入單筆識別資訊後,程式即在使用者電腦端計算出獨一無二的雜湊編碼 (Hash Codes)。
- 透過安全網路傳送方式 (Secure Sockets Layer, SSL),將此雜湊編碼傳送至 GUID 伺服器,並經由 GUID 的產生機制,回傳單筆GUID 給客戶端。
*方法二:插入健保卡產生 GUID
- 在捐贈者簽署知情同意書 (Informed Consent) 後,研究人員可使用受試者的健保卡,插入讀卡機獲得個人識別資訊,如:姓名、生日、性別等。
- 透過讀卡機讀取的個人識別資訊,GUID 客戶端程式即可在使用者電腦端計算出獨一無二的雜湊編碼 (Hash Codes)。
- 透過安全網路傳送方式 (SSL),將此雜湊編碼傳送至 GUID 伺服器,並經由 GUID 的產生機制,回傳單筆GUID 給客戶端。
*方法三:透過 Excel 批次產生 GUIDs
- 在捐贈者簽署知情同意書 (Informed Consent) 後,研究人員可從醫院資訊系統 (HIS) 中,收集個人識別資訊,如:姓名、生日、性別等,並依此產生出 Excel 檔案。
- 若醫院資訊系統中儲存的個人識別資訊不完全,則利用人工方式補齊,並同步更新醫院資訊系統中的個人識別資訊。
- 將 Excel 檔案透過 GUID 客戶端程式進行多筆批次輸入,計算出多組獨一無二的雜湊編碼 (Hash Codes)。
- 透過安全網路傳送方式 (SSL),將雜湊編碼傳送至 GUID 伺服器,並經由 GUID 的產生機制,回傳 GUID 的清單給客戶端。
[關聯表加密保護]
- 產生以數位金鑰加密的「GUID與個人識別資訊對照表」,解密的金鑰由兩個以上的負責人保管,以確保個資安全。若應用於人體生物資料庫時,依「人體生物資料庫管理條例」第 18 條規定,參與者資料須以加密方式進行保護。因此,加密個資關聯對照表亦符合相關規定。
- 加密後的對照表則透過資料載運者,將其保存於有鎖之安全櫃中,確保個資安全。若應用於生物資料庫,則將加密的對照表攜帶至實體隔離室進行保存。
[後續追蹤]
- 當研究單位或人員需要進行臨床追蹤時需先提出申請,並通過使用者委員會的審核,才能透過加密金鑰保管者的協助,進行資料解密。若應用於生物資料庫,依「人體生物資料庫管理條例」第 5 條規定,資料應用需經過審核委員同意,因此亦符合相關規定。
- 解密後可獲得 GUID 與個人識別資訊 (PII) 的對照關係。如此一來,研究人員便可依據個人識別資訊,循線找到捐贈者進行後續追蹤,或到醫院資訊系統中找到後續的臨床資訊。再將這些追蹤的資料填到屬於這個 GUID 的紀錄中,完成追蹤的步驟。
安全性
這個由美國國家衛生研究院開發系統,甚至經美國軍方所請的專家測試也無法破解,因此正式應用於美國軍方主導的臨床試驗,例如TBI (Traumatic Brain Injury) 計畫等。因此,此 GUID 系統非常適合用於任何匿名化資料之使用與整合。
在產生 GUID 過程中,所有敏感的個人識別資訊 (PII) 皆僅存在於各院使用者操作的電腦。GUID 程式僅根據 PII 進行計算並產生無法辨識的雜湊編碼,並透過安全通訊協定 (Secure Sockets Layer, SSL) 傳送雜湊編碼至 GUID 伺服器,產生 GUID 編碼後回傳給使用者。由於網路傳送過程中,皆無傳遞任何個人識別資訊,且透過安全通道 (SSL) 傳遞,即便是傳遞的編碼被惡意攻擊者擷取,也僅獲得無法辨識的雜湊編碼,仍無法獲知個人識別資訊。因此,可有效證明 GUID 的產生過程,並無個資洩漏等安全疑慮。
至於 Excel 檔,則是提供大量產生 GUID 時使用。實際編碼過程仍依循上述方式產生,GUID 客戶端程式將 Excel 內的多比個人識別資訊進行批次輸入,計算出多組獨一無二的雜湊編碼 ,透過安全的網路傳送方式,將雜湊編碼傳送至 GUID 伺服器,並經由 GUID 的產生機制,回傳 GUID 的清單給客戶端。然而,Excel 內含有大量敏感的個人識別資料,若保存不當,容易引起個資泄露的問題。有鑑於此,我們的 GUID 客戶端程式,主動在編碼完成後刪除 Excel 檔案,確保 Excel 遭竊所照成的資安疑慮。此外,主動將敏感個人識別資訊以及 GUID 編碼進行加密,並提供關聯查詢的程式,透過兩組密碼進行安全控管,一旦有後續追蹤需求時,研究人員則需先提出申請,並通過使用者委員會的審核,才能透過兩位密碼保管者的協助,進行資料解密。透過上述方式,即可確保個資安全,並有效降低個人識別資訊泄露的風險。
適法性
- 符合「個人資料保護法」
依據法務部103年11月17日法律字第10303513040號函釋有關公務機關適用個人資料保護法可能發生之誤解型態,其說明:是以,如將公務機關保有之個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍。因此,使用 GUID 作為去識別化編碼,不但符合「個人資料保護法」,其於使用 GUID 編碼後的相關資料應用,亦不受個資法之限制範圍。 - 符合「人體生物資料庫資訊安全規範」
即便本架構在 GUID 的產生階段中有連接網路,但在編碼過程中,個人識別資料皆未離開過各院或個人電腦。因此,在實質意義上,相當於在空間上進行實體隔離。同時,透過關聯表對照保護,以及實體隔離方式進行個資對照查詢,因此,符合「人體生物資料庫資訊安全規範」第八條、收案後所建置之生物資料庫之個人資料,應以實體隔離之方式建構及使用,其資訊系統不得與網際網路連接。 - 符合「人體生物資料庫管理條例」
本架構的個資關聯表皆透過加密進行保護,並透過資料攜帶者帶入實體隔離室。因此,亦符合「人體生物資料庫管理條例」第 18 條、設置者就其所有之生物檢體及相關資料、資訊為儲存、運用、揭露時,應以編碼、加密、去連結或其他無法辨識參與者身分之方式為之。
綜觀上述,使用 GUID 作為去識別的身份代碼,可確保達成下列安全需求:
- 去識別化:由於 GUID 使用單向雜湊函數計算產生,依據單向雜湊函數不可逆推的特性,任何人皆無法從已知的 GUID 中,推算回任何個人識別資訊。因此,GUID 可作為取代病歷號碼使用的去識別化身份代碼。
- 非去連結化:將「GUID與個人識別資訊對照表」加密並保存於加鎖的安全櫃中。一旦研究單位或人員需要進行臨床追蹤時,僅需通過使用者委員會的審核,即可進行資料解密,獲取病患聯絡資訊,確保非去連結性。
- 合法化:符合「個人資料保護法」、「人體生物資料庫資訊安全規範」、「人體生物資料庫管理條例」等相關條例。
參考文獻
[1] S. B. Johnson, G. Whitney, M. J. McAuliffe, H. Wang, E. S. McCreedy, L. Rozenblit and C. C. Evans, “Using Global Unique Identifiers to Link Autism Collections,” JAMIA, Vol. 17, No. 6, pp. 689-695, 2010.
GUID常見問題