目前來看，因為虛擬健保卡當初的定位是身分驗證，所以並沒有像實體健保卡一樣，並沒有把所謂做過診療的紀錄寫在那裡面，沒有那一動作，所以那塊還是註記在自己的HIS裡面，但是會上傳給我們，將來在雲端的系統當中，還是可以查詢得到。

是的。

應該是後端。

遠端醫師會在原來的院內看，所以並不會有診療設備上的困難，痛點是講無法調閱雲端資訊。

像遠距會診的部分，目前看到5G比4G強的地方是，像遠距會診時是要即時傳遞高解析度的影像或是影片，因為前端是家醫醫生，後端是專科醫生的時候，也就是即時來做這件事。

將來院所可以拿這個當作佐證這個是有過卡。

基本上是5分鐘。這個時效性要考量，因為越久越不安全。

因為這個SDK同時會產生虛擬的簽章，後續就會做就醫資料上傳、依據，醫事機構端真的有過卡，因為過去刷健保卡有一個很重要的依據，也就是要證明有過卡，這才不會是假的資料，類似虛擬卡也要有這樣的機制。

民眾叫到你的號碼或者是到診間的時候才產生這樣的QR code，當然超過5分鐘重新產生就好，這樣也ok。進入診間之後，醫事人員或是護士拿掃描器來掃QR code，從VPN端連回健保署系統去確認這個QR code的有效性，大概是這樣子。

這個概念上，經過類似健康存摺的實名制或者是統計的方式確認以後，就會連到中間上方的虛擬健保卡系統來取得隨機的QR code，我們有個時效性，大概是5分鐘左右會更新，同時上面會有個基本資料，就像健保卡表面一樣的基本資料，這個出示是要讓醫事人員確認用的。

這是有可能今年要考量這個問題。

不可能永久授權。

不過跟政委報告一下，因為過去我們講的是眷屬，很明確是有某個關係，但將來如果跨到陪病者，這個人可能跟你是沒有任何實際親屬關係，就是陪你病，但當下又有授權給他問題，可能是隔壁鄰居。

本案是以委託辦理的方式去試辦，所以沒有涉及試辦要點的問題。

這個是試辦案。

我們還是健保卡，也就是虛擬健保卡。

不用，就這樣走完。

像去年做得相當完整的亞東醫院，他的部分幾乎把院內都改完，所以只要是收案進來的虛擬卡個案，HIS自己註記，就會引導民眾包含高分剛剛講的，診間、後續的領藥、批價都希望出示QR code。

剛剛組長有報告過，基本上參與試辦的民眾，是希望全流程都是用虛擬卡的方式走完。

馬上回答嗎？

技術性的問題還在改。

政委指示這個禮拜一定要送審。

還在寫功能。

對，之前中華是幫我們做重要健保資訊系統的弱掃跟滲透測試。APP還有另外follow的檢測規定

APP本來現在也有規定要上架前要資安檢測，那個我們另外做。

我們目前是每一年做一次滲透二次弱掃，上半年弱掃作了。

我們平常就有按照資安法規定，定期作滲透測試。

目前跟關貿討論的結果，關貿還是連回來確認。

對。

不會自動時間到就換。

政委所謂的TOTP？

除非整套走VPN就好。

應該是說在這個場域裡面，其實還是會有健保VPN，健保VPN是原來作業環境下的議題，而原來虛擬健保卡註冊是走網際網路，所以會有跨網路確認的事。

因為需要人家輔導，要幫他做安裝，一般來講民眾會覺得比較困難。

應該是說其實試辦裡面的虛擬健保卡，上面除了基本資料之外，並沒有任何其他的原有醫療資料，所以其實相對來講，就算手機掉了，也不會有健保就醫資料被取得。

回應一下提問，其實這個東西是我們一直也在評估慢箋雲端化概念裡面，其實這個技術上應該是可行的，像慢箋這種相對來講會比較單純，可能第一次開立慢箋的時候，就可以設計把處方箋傳到雲端，未來這種情況在技術上紙本就沒有這麼必要了，第二次、第三次就是拿手機或者是實體卡也好，也就是藥局、藥房那邊上雲端查有第二次、第三次的領藥資格就可以領藥了，大概是這樣的方向。

目前5G是網際網路。

第二，安控元件的部分，概念上比較像連接這個APP跟HIS系統的動作，比較像API那樣的概念，因為如果將來這個東西要往下走下去的時候，這個階段因為我們只挑三家醫院來做，當然HIS去修改，一開始已經談好了，這個問題不大，但是如果以後要全面推廣的話，不太可能讓每一家醫院HIS大幅修改，這個推下去會較困難，所以是用API的方式來介接，大概是這樣子。

如果以這個案子來看的話，金鑰功能一定會有，簽驗章的功能是可有可無，開發出來不一定用得到，但是實務上不一定會馬上用到，只是先預備一個功能，但是到時會不會有的話，可能要再討論，或者是需要時再做。

報告一下，金鑰管理的部分一定會有，加解密一定會有所謂確認加解密的金鑰，目前健保卡並沒有簽驗章的問題，這個是因為當初沒有需求去設計。

其實技術上本身的環境是ok的，是可以自己完成開卡的動作，也就是信用卡可以完成開卡，這個是註冊這個流程是一氣呵成做完。這個是如果有一天沒有志工、輔導人員存在的情況下，這個人有一定程度的電腦操作能力，是不是可以獨立完成這一些東西，技術上是可以的，但是技術上多一些驗證。

這個等於註冊的東西有開卡的註記，就可以進入就醫的流程。

我想處長的意思是，因為整個設計流程，其實註冊的部分大概問題不大，開卡的動作，其實有一點像模擬目前有一些像信用卡會有一個開卡的程序，當然這個開卡程序，有它的意義，也就是再確認，因為這個註冊流程不知道會發生什麼事，所以在開卡的流程再確認，比方前面的註冊過程可能講一個比較誇張的例子，不小心看到別人的卡，然後就幫他註冊了，開卡的設計是要插實體卡來開卡，這個在人別確認上會有更好的資安。

但是這個限制手機一定要什麼樣的版本才可以，也會影響個案的蒐集。

手機也不是有史以來的都合用，基本上還是有一個最低需求的版本。

他們的規劃上，會覺得這個階段沒有辦法保證這一塊，建議先列入研究限制。

資訊端還好。

之前二代健保卡的計畫，會希望爭取新卡把加密的強度增強，目前這計畫還沒有結論，所以是先維持現有的情況下做。

之前都是走VPN。

目前還在使用現在的健保卡，不會馬上改。