大數據或病歷研究常見問題案例探討

文/倫理中心曹如妨、戴君芳

PDF下載

壹、前言

    病歷研究是常見的研究類型，因數位化趨勢使紙本病歷演進到電子病歷，使得病歷研究較過去容易執行，尤其近年人工智慧發展快速，醫療大數據更是擔任重要角色，因此使用病歷進行研究的計畫也逐年成長，在研究倫理委員會審查量中佔有相當大比例，如何在送審病歷研究時能符合研究倫理規範，在此分享常見之問題與審查重點供參考。

貳、案例及分析

案例一：

　　計畫主持人想要執行一項以病歷資料進行分析之研究案，希望收集最多最全面的資料，以分析更多面向，但計畫書未寫出具體目的。除了申請使用既有的病歷資料之外，主持人也希望可以收集病人未來治療情形及追蹤的資料，故計畫主持人在知情同意程序的項目選擇申請免除知情同意使用病歷資料。

　　計畫主持人送審研究倫理委員會後，倫理中心行政審查依規範請主持人填寫「使用病歷資料進行研究申請表」，計畫主持人則認為病歷研究的風險很小，為何還要這麼麻煩？此外，因申請使用「未來資料」，依審查共識建議主持人設計受試者同意書，以取得受試者簽署同意書，計畫主持人不解僅使用電子病歷資料，不是都可以申請免除同意嗎？

案例一分析

病歷研究可以申請免除同意嗎？

　　「為什麼收集常規病歷資料進行分析還要受試者簽署同意書呢？」是否您也有這樣的疑問？以案例一的情形，計畫主持人擬使用之病歷資料可分為兩部分：既有的病歷資料與未來病人治療情形及追蹤資料，同樣都是收集病歷資料，若僅使用「回溯病歷資料」，因是申請使用「過去」已經存在的醫療常規資料，屬於「回溯性研究」，若符合衛生福利部制定之「得免取得研究對象同意之人體研究案件範圍」，是可以申請免除知情同意的，但因計畫主持人還會使用「病人未來治療情形及追蹤資料」，這部分是欲使用「未來」的資料，就屬於「前瞻性研究」，為避免研究者為支持某研究方向而在有意或無意下影響常規醫療程序，以及尊重自主之原則，若擬收集未來資料，依目前研究倫理委員會之共識，應取得受試者同意，故須要設計供受試者簽署之同意書，並在審查通過後執行研究時，取得受試者同意後，才能收集其病歷資料。簡單來說，收集申請日以前的資料即為「回溯性研究」，以回溯性資料進行研究，可以申請免除知情同意；若收集申請日以後的資料則為「前瞻性研究」，需要取得受試者的知情同意後方能進行收集。前述當然也有例外之情況，例如緊急醫療情形下若須要取得同意研究便無法執行，或是常規醫療措施進行Cluster randomized trials (CRTs)等 ，只要敘明理由經研究倫理委員會審查評估同意後，便可免除前瞻性研究之同意。

　　一般情況哪些條件可以申請免除知情同意呢？依據《人體研究法》[1]第十二條規定，研究計畫須依研究倫理委員會審查通過之同意方式及內容取得研究對象之同意，但屬主管機關公告得免取得同意之研究案件範圍者不在此限[2]，可免除同意情形，包含如下：

1. 公務機關執行法定職務，自行或委託專業機構進行之公共政策成效評估研究。
2. 自合法之生物資料庫取得之去連結或無法辨識特定個人之資料、檔案、文件、資訊或檢體進行研究。但不包括涉及族群或群體利益者。
3. 研究屬最低風險，對研究對象之可能風險不超過未參與研究者，且免除事先取得同意並不影響研究對象之權益。
4. 研究屬最低風險，對研究對象之可能風險不超過未參與研究者，不免除事先取得研究對象同意則無法進行，且不影響研究對象之權益。

病歷研究有風險嗎？除了一般研究倫理審查重點，還需額外審查什麼？

　　使用病歷資料的風險真的很小嗎？研究倫理委員會要審查什麼呢？需要填寫「使用病歷資料進行研究申請表」[3]的原因為何呢？依本院研究倫理委員會規範，申請病歷資料，如大數據、資料探勘、人工智慧、建立個別研究用資料庫等類別並申請免告知同意之研究，需填寫「使用病歷資料進行研究申請表」。雖然回溯使用病歷資料不會因介入措施直接對受試者產生生理風險，但若未做好資料保護措施，仍會有將病人個人資料外洩之風險與疑慮。因此，研究倫理委員會將病歷資料研究需考量之議題設計於「使用病歷資料進行研究申請表」中，一方面讓委員審查時能對於使用病歷的各項需注意重點一目了然，也讓申請人得自我檢核確認，對於病歷研究之各項審查重點，是否已做好相應的保護措施。

病歷研究之審查重點

    由於病歷資料相當寶貴，不宜無具體目的申請，申請項目也不是越多越好，申請病歷筆數以最小需求為原則，因此需提出合理估算方式。

    病歷資料具隱私性，因此需先知道研究者的保密措施，資料存放之地點亦需明確告知，包含(1)資料存放所在地，(2)使用之電腦(含伺服器)所有人，並(3)詳述此辦公室/地點具有之門禁管制或安全措施。    資料存放之電腦(含伺服器)需明確告知存放資料之電腦與伺服器：(1)需設定密碼保護，且(2)具有管理與監控人員使用電腦之作法，(3)是否會與外部網路連結與傳輸。

    使用的資料原則為已經由申請端加密、去識別化，不含美國HIPAA規定的18種identifiers可辨識個人資料項目，若將使用含可識別之非加密資料，則需具有：(1)取得可辨識個資之必要理由，需呈現未取得可辨識個資則研究無法執行之理由；(2)清楚列出取得可辨識個資項目為何，項目需有合理範圍；(3)取得可辨識資料若為資料查詢所需，需說明由何人負責查詢；(4)可辨識個資資料與加密資料如何分開保存及如何管理；(5)列明可接觸可辨識個資之所有研究人員(如計畫主持人以外之研究人員亦可接觸個資，需具備必要理由)；(6)提出如何偵防可辨識個資(部分或整筆)被對外披露、誤用之風險。申請之病歷資料如為影像資料，則需特別注意相關的保護措施，例如：遮蔽可辨識受試者身分如刺青、臉部等部分。

    最後亦須確認資料使用期限與銷毀規劃，故研究計畫書中需敘明：(1)研究資料使用期限，應為研究倫理委員會核准之計畫執行期限，若未能於計畫期限內完成，需向研究倫理委員會提計畫展延申請。(2)當計畫執行完成後，需敘明相關資料最終處理措施，以及預計何時銷毀資料。

案例二：

　　計畫主持人與外校老師共同合作進行一項自行研發的醫療器材軟體驗證計畫，需申請使用病歷資料，未來可能有機會將產品上市或技轉。申請之病歷資料預計攜出至外校之研究室，由合作老師進行分析，計畫主持人表示還沒與合作老師討論未來之成果歸屬如何分配。

案例二分析

病歷資料可以自行攜出研究嗎？需於送審時說明嗎？

　　對於病歷資料，依醫療法第70條[4]規定，醫療機構有保管之責，故病歷資料若因研究需要而攜出，尚須符合醫療機構之相關規範，研究者不能隨意帶出院外。若因資訊設備、技術等無法於院內執行分析，需經機構評估及確認保密措施，經核准後方能攜出。因此，送審計畫時需說明分析資料及保存之地點與保護措施，研究倫理委員會需評估相關風險是否已降至最低，最後亦需經機構同意後方能攜出分析。哪些形式屬於攜出呢？包括將資料帶到合作之學校、去辨識後上傳於廠商的雲端系統、放在隨身碟帶回家整理資料與分析、去除可辨識個資後上傳院外平台或資訊系統等情形，皆屬攜出院外。申請之資料需要攜出院外，則需於「使用病歷資料進行研究申請表」填寫「必要攜出之理由」以及「攜出方式」，若經審查同意，亦須經院方同意後方得攜出，且攜出之資料必須經處理後無可辨識個人資料。

    另外，為減少資料攜出洩漏之風險，本院成立有智慧醫療中心，並建置DGX-A100高效能運算設備，依本院人工智慧運算資源暨使用專區管理辦法及虛擬私有網路管理要點，亦可申請遠端連線至院內運算環境，進行不含個資之智慧醫療模型訓練，因此已可處理大部分的運算，減少攜出之風險，故資料以不攜出院外為原則。

與合作機構預先協商研究成果之歸屬

　　關於研究成果權益的歸屬協議，研究者可能常會忽略此重要環節，或可能覺得等真有利益產生再說，但屆時可能不易協商或易有糾紛。如案例二之研究已預期可能有相關商品產出及衍生利益之可能性，若與院外機構合作，宜先向機構之權責單位了解研發成果歸屬及運用等相關辦法，以及合作合約之簽訂程序等，預先載明成果權益歸屬及回饋機制(含回饋方式及回饋對象等)，避免待有成果時因認知不同而產生糾紛，使原本好的研發蒙上陰影。

參考文獻

1.人體研究法https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=L0020176

2.得免取得研究對象同意之人體研究案件範圍 醫事司 https://dep.mohw.gov.tw/DOMA/fp-2782-9538-106.html

3.臺大醫院研究倫理委員會表單_使用病歷資料進行研究申請表https://www.ntuh.gov.tw/RECO/Fpage.action?muid=5011&fid=5529

4.醫療法https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=L0020021

(回第1期報頁)