【臺灣資安大會直擊】衛福部推SBOM填補AI供應鏈漏洞、醫療主權雲八大方針正式版近期將出爐

衛福部資訊處處長李建璋在臺灣資安大會透露，衛福部下一步將在負責任AI中心推動醫療AI導入SBOM（軟體物料清單）機制，來降低AI供應鏈風險。同時，衛福部也將於近期公布正式版本的醫療主權雲八大方針，未來醫院採用公有雲服務雖可能增加5%至15%成本，但可換取資料留臺、金鑰自主與更完整的保障。

文/王若樸 |2026-05-06發表
出處：https://www.ithome.com.tw/news/175594

衛福部資訊處處長李建璋今日（5/6）在臺灣資安大會醫療資安論壇揭露，衛福部下一步將在負責任AI中心推動導入SBOM（軟體物料清單）機制，降低醫療AI軟體供應鏈漏洞風險。同時，衛福部延續今年初與微軟、Google雲端和AWS等三大公有雲業者的醫療主權雲八大方針溝通，近期將公布正式版本，醫院未來選擇公有雲服務時雖會多出5%至15%的成本費用，但可享有更完善的保障，如加密金鑰由醫院掌握、資料未經醫院授權不得二次利用等。

醫療AI不只看模型，衛福部點名SBOM防供應鏈漏洞

李建璋指出，醫療AI的資安風險，不只來自模型本身，而是背後龐大的軟體供應鏈。

因為，一套醫療AI系統，往往整合模型、推論框架、第三方函式庫、容器映像檔，以及各種API。即便模型本身沒問題，只要其中一個元件存在漏洞，就可能成為攻擊入口。

因此，醫療AI下一步必須建立SBOM，清楚列出系統使用的軟體元件、版本、來源與相依關係。

李建璋說明，國際間包括美國FDA都已將SBOM納入醫療軟體治理，但法規速度往往趕不上科技演進。因此，臺灣決定從實務治理著手。

他表示，衛福部將在10家醫院營運的負責任AI中心，進一步納入SBOM，作為負責任AI治理流程的一環，要求所有準備進入醫院的AI系統，除了先通過獨立委員會審查資安與個資風險外，還要清楚揭露SBOM，並完成對應的弱點掃描。

「我們希望把SBOM的精神，先落實到負責任AI中心裡。」李建璋表示，透過這套機制，臺灣有機會比美國FDA相關法規更早，在實際醫療場域中驗證AI供應鏈治理模式。

近期將揭露醫療主權雲8大方針正式版

隨著基層診所與醫院資訊系統逐漸上雲，醫療資料主權也成為另一項資安治理重點。

李建璋指出，當醫療機構採用商用公有雲後，會面臨資料跨境、個資外流，以及模型訓練資料使用權等新挑戰，例如醫療資料是否可能被用來訓練大型語言模型、資料是否存放海外，或管理人員不受臺灣法規管轄等問題。

因此，衛福部今年1月已與微軟、Google Cloud和AWS等公有雲業者協調「醫療主權雲八大方針」。根據李建璋說明，醫療主權雲至少將要求：

• 醫療資料留存在臺灣
• 資料全程加密
• 加密金鑰由醫院掌握
• 資料未經醫院授權不得二次利用
• 系統具備韌性與可稽核能力
• 管理人員須為本國籍

他也透露，近期，衛福部將公布正式版本的主權雲八大方針。而醫院導入這類主權雲服務後，費用可能增加5%至15%，但能換來更完整的資料治理保障。

FHIR不只互通，更是訓練醫療AI的基礎

除了資安與主權雲，李建璋也再次強調，國際醫療資料交換標準HL7 FHIR，是臺灣智慧醫療下一階段的關鍵基礎。

他用「遍地石油卻無法開採」來形容臺灣醫療資料的現況。臺灣電子病歷普及率極高，連小型診所都已電子化，遠超預計2030年才完成全面電子化的日本。但全臺有四十幾套電子病歷系統，格式彼此不相容，從實驗室數據、文字到影像，格式各自為政。

資料人看得懂、系統也讀得到，但電腦卻無法直接分析與運用——這正是FHIR標準化工程想要解決的核心問題，也是衛福部近年持續推動FHIR標準化的初衷。

李建璋還預告一個重要里程碑——6月10日，衛福部將正式宣布全臺實驗室數據與國際標準編碼LOINC完成百分之百對齊，未來健康存摺上的所有實驗室檢驗檢查數據，都可透過這個標準，在合規的前提下來訓練醫療AI。

115款SMART on FHIR應用上線，主打最小化授權

在資料安全方面，李建璋也點出，臺灣已建立全球少見的國家級SMART on FHIR應用市集，目前已有115款智慧醫療應用上架。

SMART on FHIR除了提供嚴謹的身份驗證與授權機制外，還特別著重Smart Scope技術。李建璋解釋，過去的授權往往是整包資料一次授權，但SMART Scope讓使用者可以最小化授權，App只能存取被明確授權的特定資料欄位，大幅降低個資外洩的風險。

醫療OT設備救命優先，卻可能犧牲資安

除了IT系統，李建璋也點出，醫療院所與其他產業最大的不同，在於院內存在大量OT（Operational Technology）設備，例如心律調節器、生理監測設備等。

他解釋，這類設備在設計初期，多半以病人安全與即時救命為優先，例如工程師在緊急情況下，必須能快速讀取裝置資料，因此往往簡化身份驗證與授權流程。這也讓醫療OT設備，成為醫院資安治理中最特殊、也最容易被忽略的一環。

臺灣大型醫院每月遭200萬次攻擊，地緣政治風險升高

李建璋也揭露，目前臺灣大型醫學中心正面臨前所未有的網路攻擊壓力。

他舉例，像榮總、臺大醫院等大型醫院，每月平均受到150萬至200萬次資安攻擊，數量甚至高於他所知的許多海外醫院。「很大一部分原因，和地緣政治有關。」他也提到，去年臺灣醫療體系遭遇Crazy Hunter勒索軟體事件後，政府更加意識到，醫療資安已不能只從IT角度思考，而必須提升到國安層級來審視。