| 0 |
劉委員建國:(9時55分)謝謝召委。有請部長。 |
| 1 |
部長剛剛那一段話、最後那一段話,我覺得很重要,會詳細的調查,然後深刻的檢討改進,甚至於做這樣的回應。 |
| 2 |
邱部長泰源:委員好。 |
| 3 |
劉委員建國:部長早上應該有接到一個訊息吧?國光生技是臺灣第一家研發生技疫苗的上市公司,每年提供五成以上的公費疫苗給國人接種,就注射在體內嘛,之前爆發出流感疫苗變色事件之後,今天又被內部吹哨者爆料,爆料什麼?整個實驗室內有百隻老鼠亂竄,部長什麼時候掌握這事情? |
| 4 |
邱部長泰源:報告召委,我們第一個時間了解了以後,馬上…… |
| 5 |
劉委員建國:對不起,部長說第一個時間了解是什麼時候? |
| 6 |
邱部長泰源:今天一早。 |
| 7 |
劉委員建國:今天一早你才…… |
| 8 |
邱部長泰源:今天食藥署就會派人去,應該是…… |
| 9 |
劉委員建國:今天食藥署會派人去?但是部長接到訊息是今天早上,所以是因為部長知道這個訊息之後,才指示食藥署…… |
| 10 |
邱部長泰源:沒有,食藥署原來今天就要去稽核、去清查,去了解實際上的狀況。 |
| 11 |
劉委員建國:那部長有掌握到食藥署是什麼時候掌握到這個訊息的?那等於是部長是事後才知道這訊息,但是食藥署是今天早上才要派員到國光生技的實驗室去了解實際上的狀況,FDA食藥署是什麼時候掌握到這個訊息?部長的答復是今天早上才接到這個訊息嘛?但是部長接到這個訊息之前,食藥署是今天早上就要派員到國光生技的實驗室去了解實際上的狀況嘛?應該是這樣,對不對?所以FDA什麼時候跟部長回報這個訊息?一家生產疫苗的上市公司發生這麼重大的事情,衛福部什麼時候掌握到? |
| 12 |
邱部長泰源:等一下問一下食藥署,因為食藥署署長去開國安會議,我想以食藥署署長任事的積極,幾乎日以繼夜,應該是第一時間就掌握到,因為我們早上七點多就開會,所以七點多我就知道這個訊息,然後食藥署就直接跟我報告今天已經安排派人要去國光…… |
| 13 |
劉委員建國:所以部長現在答復我,就是今天早上您跟食藥署才知道這個訊息,是這樣嗎? |
| 14 |
邱部長泰源:我相信食藥署應該更早…… |
| 15 |
劉委員建國:因為你是不是今天早上七點多的會議之後知道,然後才派人去喔! |
| 16 |
邱部長泰源:我個人是早上七點多知道。 |
| 17 |
劉委員建國:好,你個人是七點多知道,那食藥署是幾點確定接受到指令,要到國光生技廠去調查? |
| 18 |
邱部長泰源:至少七點多的時候,食藥署林副署長已經直接告訴我,今天早上我們在開會的時候,就告訴我,今天食藥署會派人去調查,他是跟我報告這樣子。 |
| 19 |
劉委員建國:好,也請部長掌握情況,到底食藥署是什麼時候接受到這訊息。 |
| 20 |
邱部長泰源:好。 |
| 21 |
劉委員建國:因為這是去年7月份颱風之後所發生的事情,去年7月,根據報導是這麼寫的,因為發生颱風,然後產生這樣的事件,怎麼會讓一個專門在製造疫苗要給國人施打的大廠,而且是一個上市公司,發生這種離譜至極的狀況,只因為颱風,就可以讓實驗室的老鼠亂竄,產生了相關的排泄物,甚至有毛屑影響到整體的實驗室,這會讓要接打疫苗的國人的信心匱乏,長期衛福部對國光生技補助了多少、支持了多少?怎麼可以發生這種事情? |
| 22 |
邱部長泰源:我跟劉召委報告一下,第一個,我們當然馬上就去查實際的情況是怎麼樣;第二個,若違反GMP規定的話,我們會重罰,依藥事法規定是可以罰3萬到200萬;第三個,在疫苗的製造過程當中,必須要經過11道詳細檢驗才能封緘使用,所以疫苗的安全跟品質的確是做到嚴格管控,這是我們對國人至少應該要有的安全跟品質的堅持,請國人放心,疫苗方面的品質我們是非常嚴格的管制。 |
| 23 |
劉委員建國:部長回應我這樣,我基本上沒有去質疑到後端,我也沒有去質疑到整個疫苗出廠之後的安全性問題,但是在前端上,整個實驗室發生這個事情,你覺得你可以容許嗎? |
| 24 |
邱部長泰源:報告委員,是不是老鼠亂竄或者是他們擺在不應該擺的地方,這個我們今天一定會去查清楚,以免有時候訊息如果不夠準確,我們也很難去給它做處罰,所以我們今天一定要去確定、了解當時的情況是怎麼樣。 |
| 25 |
劉委員建國:對,我當然也是希望部長在第一個時間知道、第一個時間就趕快處理,然後讓委員會、也讓社會大眾知道,不要讓人民對施打疫苗的信心匱乏。 |
| 26 |
邱部長泰源:這個應該是過去曾經某一段時間發生,然後因為最近被舉發,所以我們就馬上去查,我們馬上去了解並去處理。 |
| 27 |
劉委員建國:所以部長答復我的是,因為最近有被舉發,所以你們了解之後,在第一個時間就馬上去查,等於還沒有舉發之前,你們完全沒有掌握這個狀況,應該是這麼說嘛! |
| 28 |
邱部長泰源:因為有時候實驗室……譬如我們也定期都有去國光生技查它整個製造的過程…… |
| 29 |
劉委員建國:這就是一個重點,部長,就是因為你們有定期查核,但這個事情如果根據吹哨者的說法,是從去年7月因為颱風的事件就發生了,若你們有定期查核,怎麼到現在才後知後覺? |
| 30 |
邱部長泰源:定期查核應該就是查疫苗的製造過程,但這個也許是在另外實驗室的地方,這個我們會去查清楚,再跟大家報告。 |
| 31 |
劉委員建國:關於事情的始末到底是真是假,我還是希望部長可能要責成FDA做詳細的調查…… |
| 32 |
邱部長泰源:一定、一定。 |
| 33 |
劉委員建國:讓社會大眾了解到事實的真相為何,好不好? |
| 34 |
邱部長泰源:好。 |
| 35 |
劉委員建國:如果真的有誠如吹哨者所舉發的事情,我覺得這是絕對不能寬恕、也不能原諒的,如果沒有,也應該要還它一個清白。 |
| 36 |
邱部長泰源:謝謝大家的關心,我們一定嚴加去查核,也要說明清楚。 |
| 37 |
劉委員建國:第二件事情,部長,你看一下資料,2月的時候馬偕醫院被駭1,660萬筆的病患資料,3月彰化基督教醫院系統被癱瘓,4月中壢長慎醫院超過8萬名的病患資料被外洩,部長,這些有掌握嗎? |
| 38 |
邱部長泰源:有,尤其是馬偕醫院跟彰基連續發生的時候,整個衛福部尤其是資訊處其實做了很多的事情,包括馬上阻擋,特別是跟資安署在這方面的專家,大家一起去做,同時也召開了全國比較關鍵性的醫院的會議來看怎麼樣因應,同時也製作了一個SOP來看各醫院要怎麼樣防範,這一次的地區醫院…… |
| 39 |
劉委員建國:所以可以做到防範? |
| 40 |
邱部長泰源:對。 |
| 41 |
劉委員建國:應該可以做到防範嘛?不會2、3、4月有3家醫院,5月又變成另外一家醫院,可以做到防範嗎? |
| 42 |
邱部長泰源:委員,可否容許讓處長跟你簡單報告一下? |
| 43 |
劉委員建國:來,簡單報告。 |
| 44 |
李處長建璋:跟委員報告,醫院最常見的就是勒索軟體,我們現在針對勒索軟體有做了一個SOP,而且也給他們都裝上所謂的主動防禦系統,但是這次發生事情的長慎醫院,它不是所謂的關鍵基礎設施醫院,那不是這60家醫院在業管的,所以在目前的資通法裡面,它並沒有在裡面需要去列管,但我們第一時間還是把SOP怎麼做都立刻教它。 |
| 45 |
劉委員建國:不是,誠如部長所講的,能不能做到防範嘛?我想怎樣的駭客攻擊,很多種方式…… |
| 46 |
李處長建璋:防範就好像兩邊一直在進步,駭客一直在更新,我們也一直在努力…… |
| 47 |
劉委員建國:是,對啊! |
| 48 |
李處長建璋:所以沒有辦法講說百分之百一定可以防範,但就是要一直精進。 |
| 49 |
劉委員建國:所以你也沒有辦法回答我說百分之百保證5月就不會有其他一些醫院被駭?沒有辦法保證嘛,對不對? |
| 50 |
邱部長泰源:我們努力…… |
| 51 |
劉委員建國:這問題就很嚴重。 |
| 52 |
邱部長泰源:請委員放心,李建璋教授是臺大醫學院、臺灣大學裡面資訊最強的一個醫師,所以他能夠到衛福部來為國家做事情,他一定會盡力做到全國所期待的資訊安全跟發展以後更安全。 |
| 53 |
劉委員建國:我可以應部長講的,我可以對他放心啦!但是我不放心5月又要有哪一家醫院被攻擊,對不對?我應該這麼講嘛! |
| 54 |
邱部長泰源:所以當時是60家,我當然希望能夠全部的醫院,因為每一家醫院都有病人的資料,所以我們也很在乎…… |
| 55 |
劉委員建國:部長,你聽一下…… |
| 56 |
邱部長泰源:即使比較小的醫院,我想未來也應該把他們納入整個保護罩裡面。 |
| 57 |
劉委員建國:刑事警察局現在已經公布,透過IP鎖定這一連串的攻擊是來自中國浙江省一位20歲的羅姓男子,雖然現在也啟動了兩岸共打,已經啟動了,可能又要石沉大海了,了解到源頭在那邊,但要怎麼樣、可以怎麼樣?2023年在中國有一個學生不斷發炸彈恐嚇信,大家應該記憶猶新,發給我們國內各大的單位、機關,最後還是透過共打平臺,但不了了之。所以我剛剛才會特別再跟部長、專家強調,你們的防範到底能不能做到什麼樣的程度?還是誠如剛剛所講的,我們在進步,他們也在進步,但是我們的進步如果比他們晚一點,那我們5月不曉得又有哪一家、6月不曉得又有哪一家,最後會不會我們整個健保的資料就成為他們的囊中之物? |
| 58 |
邱部長泰源:健保的資料又有另外一個系列很嚴格的管制,如果需要,當然健保署也可以報告。 |
| 59 |
劉委員建國:如果健保的這個系統是一個更嚴謹的管制,那全國的這些醫院是不是要有整體更新的相關計畫,我們才可以做到真正的防範? |
| 60 |
邱部長泰源:中央健保署的資料在資通安全是屬於A級,它是A級的機關,所以必須要請委員嚴格的見證,在醫院裡面,因為有將近500家的醫院,他們當然有很多資訊都需要一直更新,所以就如劉召委所提的,國家真的在這個部分應該要投入更多的資源、引進更多的人才來發展、來努力、來超越世界各國。 |
| 61 |
劉委員建國:是啦!所以健保署是A級的,你看2月份是馬偕喔!馬偕應該是醫學中心嘛,對不對?連馬偕都被駭1,660萬筆,馬偕是B級的,其他醫院是C級的…… |
| 62 |
邱部長泰源:馬偕醫院的…… |
| 63 |
劉委員建國:診所就變成D級了? |
| 64 |
李處長建璋:對,目前在我們的法裡面,馬偕叫關鍵基礎設施醫院,所以它的確是在我們的防範之內,但是這個包含廣大的…… |
| 65 |
劉委員建國:在你們防範的範圍裡面嘛,對不對? |
| 66 |
李處長建璋:對,但是廣大的其他不是這60家關鍵基礎設施醫院的話,在目前法裡面是沒有納進這些保護網的,這個需要很大的資源,我們也是請委員來支持,就是它不是衛福部資訊處現在只有兩個人…… |
| 67 |
劉委員建國:我就是支持,今天才會有這個議題提出來討論嘛! |
| 68 |
李處長建璋:對,所以這個要擴大到國家投入更多的資源才有辦法處理。 |
| 69 |
劉委員建國:馬偕是納入在基礎防範的範疇裡面,它就被駭了1,660萬筆,所以部長跟我講健保署是A級的,我真的是擔心喔,對不對? |
| 70 |
李處長建璋:再補充一點,現在我們是從防守變成韌性,韌性的意思就是我們開始在所有的這些資料裡面都備援、加密,就算它被駭、被攻擊以後,也可以很快速地備份,現在我們對這些醫院都是這樣去做,然後我們開始要把這些資料加密,它被駭了以後,資料沒有解密也是不能用的,所以這個是韌性,就是我們第一關除了防守之外,第二關也在韌性的部分做了相關的準備,跟委員報告。 |
| 71 |
劉委員建國:對,你講的這些是兩個防範手段的之一跟之二嘛,對不對?但是我的期待是,如果今天誠如部長所講的健保署的資料是A級的,就是不輕易可以來攻破,駭客怎麼駭,不是這麼簡單啦,你剛剛又講馬偕應該是屬於這個範疇裡面,60家我們關鍵範圍內重要的醫院,但資料可以這麼輕易被駭,有1,660萬筆耶! |
| 72 |
李處長建璋:跟委員報告,因為畢竟醫院跟健保署不太一樣,健保署是一個封閉系統。像一個醫院都有五、六十家對外的供應商,那他們這個被駭資料是供應商、是在外面的所謂檢驗室的機構,一個醫院都有幾百家供應商,如果連外面都有他的資料的時候,就變成很難去防,但健保署不是這樣,健保署是比較封閉的一個系統。 |
| 73 |
劉委員建國:那就請部長針對剛剛所講的這幾個面向可能要檢討,看到底怎麼樣,你還有這麼多的外部供應商會發生這種事情,是不是有更多的,就像你們講的,這60家是不是要朝向健保署這種A級的、封閉式的處理方式來做整體提升?是不是可以給我們詳細的調查,然後未來怎麼做的一個計畫,提供給委員會做參考?可不可以? |
| 74 |
邱部長泰源:沒問題。 |
| 75 |
劉委員建國:好,謝謝。謝謝召委。 |
| 76 |
主席:謝謝劉委員、謝謝部長。 |
| 77 |
接續我們請王育敏委員質詢。 |