為什么防“統方”這么難？

日期：2015/10/28

“統方”是醫院對醫生用藥信息量的統計，“非法統方”是指通過不正當的途徑非法獲得醫院處方或高價值耗材用量的統計信息，從而實現其商業目的。

來源/中國數字醫療網 玉落千秋

雖三令五申，但非法統方屢禁不止。

2014年11月，廣東省再掀醫藥反腐風暴，5家醫院被通報批評

2013年01月，廣東高州市人民醫院統方回扣焦點訪談連續曝光

2013年11月，杭州某醫院院長及副院長因統方事件被拉下馬

2012年12月，河南省統方事件利益鏈中相關人等被檢察院查處

2012年06月，湖南常德統方事件中相關責任人月入2萬被當時檢察院查處

2012年05月，浙江溫州中醫院因統方事件引起“回扣門”

2011年06月，浙江溫州附一、附二醫院“回扣門”

2010年11月，浙江杭州中醫院，第四人民醫院出現統方 “回扣門”

……

“統方”是醫院對醫生用藥信息量的統計，“非法統方”是指通過不正當的途徑非法獲得醫院處方或高價值耗材用量的統計信息，從而實現其商業目的。非法統方是藥品耗材回扣腐敗產業鏈中的重要一環，非法統方單一旦在網上曝光，將給醫院聲譽帶來極大的傷害，使行風、政風“三好一滿意”嚴重受挫。使得本來就很緊張的醫患關系火上澆油，內部管理事件演變成群體性事件，涉及到的相關主管部門及領導苦不堪言。

醫院防統方面臨的困境：

在醫生的實際收入中，“統方”回扣是一個重要來源。統方回扣對醫生群體的誘惑之大，外界常難以想象，其額度可達藥品零售額的10%至30%。低年資醫生染指這部分利益可能較少，但中高年資醫生則往往可以利用統方回扣獲取遠超其合法收入的灰色利益，這早已是醫療界公開的秘密，但卻很少被關注和公開報道。

1、醫院工作者非法“統方”

醫院工作者，如醫生、護士、藥劑科的工作人員都有機會接觸到統方數據。想通過非法統方獲利的醫生，必然要收集自己的用藥信息量，提供給醫藥代表才能拿到回扣;一些醫院的藥劑科本身就兼具正常“統方”的職責，在一定的時間藥劑科科長需要對醫生、藥品和劑量信息進行統計，以防止醫生用藥比例過高導致醫生停診，這個過程中“統方”信息就有泄露的風險;負責領藥的護士也能掌握每日用藥的數據，如果別有用心，也是非法統方的來源之一。

2、內部信息資源管理人員非法“統方”

隨著信息化水平提升，醫院信息中心人員也迅速增加，他們負責醫院信息化建設，以及日常IT網絡設備、數據庫等程序的維護工作，這些管理人員掌握著SYS、SYSTEM等超級用戶，這些用戶具備了訪問所有IT網絡設備、服務器、應用數據庫的權限，從而使毫無業務需要的信息中心工作人員能夠訪問所有處方數據，具備“統方”的最佳途徑。

另外，數據庫管理員(簡稱：DBA人員)也可以直接查詢數據庫中的用戶密碼表，使用具備統方權限的應用用戶登錄到HIS系統直接進行非法“統方”。由于這個群體對于信息系統的操作熟悉程度，以及目前對于超級用戶的技術審計比較薄弱，這是目前比較主要的非法統方途徑。

3、開發人員、維護人員非法“統方”

醫療信息系統的開發和維護人員掌握著系統訪問數據庫的用戶名和口令，這些人員經常需要在醫院內部進行日常工作，完全可以使用該數據庫用戶直接登錄數據庫，構造統方SQL進行非法“統方”。

4、黑客入侵醫療系統非法“統方”

在高額利益的驅使下，當前黑客竊取“統方”數據的問題已不容忽視。總結黑客的手段無外乎三種：一是利用HIS等醫療系統的Web漏洞入侵數據庫;二是利用數據庫漏洞直接入侵數據庫;三是入侵數據庫服務器主機直接竊取數據庫文件、備份文件等。

·衛生部/廳的要求

1、衛生部于2006年頒發了《衛生部、國家中醫藥管理局關于開展治理醫藥購銷領域商業賄賂專項工作的實施意見》、《刑法修正案》，明確醫務人員收受回扣屬于商業賄賂。

2、2007年衛生部發布《衛生部辦公廳關于加強醫院信息系統藥品、高值耗材統計功能管理的通知》，要求完善醫院信息數據庫查詢的監測系統，加強對利用計算機網絡查詢藥品、高值耗材的數據監測。

3、2010年6月21日頒發的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出，“要對醫院各個部門通過計算機網絡查詢醫院信息的權限實行分級管理，對醫院信息系統中有關藥品、高值耗材使用等信息實行專人負責、加密管理，嚴格統方權限和審批程序，未經批準不得統方，嚴禁為商業目的統方。”

4、2012年9月18日衛生部再次發布《關于加強公立醫療機構廉潔風險防控的指導意見》;明確加強信息系統監管，防止非法統方。

5、中醫藥管理局發布了聯合制定的《加強醫療衛生行風建設“九不準”》第六條”不準為商業目的統方”

6、衛計委聯合國家中醫藥管理局在2014年底發出了《關于加強醫療衛生機構統方管理的規定》，并于2015年1月1日開始實施。文件明確“嚴禁為不正當商業目的統方”，對違反規定為不當商業目的統方的，要給予處分，甚至追究刑事責任.

·信息安全等級保護要求

《信息安全等級保護管理辦法》要求組織對信息系統分等級實行安全保護，其中明確要求計算機信息系統創建和維護受保護客體的訪問審計跟蹤記錄。

防統方本身就是一個信息安全防范問題，政府機關、醫院的信息系統屬于三級，屬于公安機關強制性信息安全防護要求等級。

目前醫療行業還沒有很好的防統方措施來防范統方，而是通過傳統的手段，通過數據庫自身審計產生的日志來分析，但是核心數據庫自身的審計功能對數據庫性能影響較大，審計權限和操作權限也沒有分離，對這種數據庫自身審計產生的日志，分析工作繁瑣、人力投入大、審計信息易被篡改或泄漏等。信息安全維護工作分散到不同醫院和部門的不同人員，部分開發、維護工作外包給合作的第三方公司及人員，日常運維過程中普遍存在維護人員較多、缺乏嚴格的資源授權管理審核、操作不透明、缺乏有效的技術手段來監管，代維人員操作、操作無審計等諸多問題。

信息來源：醫藥代表