醫療 GenAI 浪潮來襲！從衛福部首份指引，看醫療機構如何落實 AI 資安與合規治理

Summary

隨著生成式人工智慧（GenAI）技術爆發，醫療產業也正積極導入 AI 輔助臨床診斷、優化醫療紀錄與提升病人溝通效率。然而，醫療數據的高敏感度與臨床決策的嚴謹性，讓 AI 的資安與治理成為不可忽視的挑戰。

衛福部於 2026 年 5 月底正式發布首份《醫療機構應用生成式人工智慧指引》，針對醫院與診所導入生成式 AI 提出風險治理框架。這份指引不僅是台灣醫療 AI 治理的重要里程碑，更為醫療機構在導入與使用生成式 AI 系統時，提供了明確的安全治理與合規方向。

衛福部醫療 GenAI 指引的兩大核心亮點

一、聚焦六大關鍵風險與風險分級管理

指引中明確點出醫療機構導入生成式 AI 必須面對的 6 類常見風險：

1. 1. 模型偏差：可能導致不公平的醫療判斷。
   2. 資料來源：資料品質、可信度或更新狀況不足，可能影響 AI 輸出的正確性與可靠性。
   3. AI 幻覺：AI 虛構錯誤的醫學資訊，可能誤導診斷。
   4. 資安攻擊：如資料外洩、對抗性攻擊或模型投毒。
   5. 使用者過度依賴：醫事人員未經審查即全盤接受 AI 建議。
   6. 服務中斷：對外部模型服務商的過度依賴，可能導致服務停止、費用調整或 API 行為變更等風險，影響醫療流程穩定性。

為了有效控管，衛福部要求醫療機構必須建立「AI 產品與系統清冊」，掌握院內所有 AI 系統的用途、場景與風險等級，並依據臨床影響程度進行分級管理與持續監測。

二、首度強調「供應鏈透明度」與「資料流向」管理

過去醫療機構評估 AI 產品，多半只看「功能」與「準確率」。但新指引強調，未來必須將供應商管理納入評估範圍，醫療機構可要求廠商揭露：

• • 模型版本資訊與部署型態
  • 資料流向與保存政策（確保病人隱私未外洩）
  • 資安防護措施與事件通報機制

這意味著，醫療 AI 的導入與管理不再只是技術問題，更是涵蓋資料治理、供應鏈透明化與系統變更管理的全面性治理。衛福部強調，現階段 GenAI 僅能作為輔助工具。凡涉及臨床判斷、診療建議或醫療紀錄，皆須由具資格的醫事人員進行最終確認並負責，以確保醫療決策品質。

迎戰合規挑戰：Vulcan 協助建立醫療 AI 的安全與治理能力

面對衛福部嚴格的風險盤點、資料保護與供應商管理要求，醫療機構除了評估 AI 系統的功能與效益外，也需要確認其是否具備足夠的安全性與治理能力。

作為 AIFT 旗下專注於生成式 AI 安全與治理的品牌，Vulcan 聚焦於 AI 紅隊演練、即時監控與風險管理，協助醫療機構因應衛福部指引所關注的資訊安全與治理要求，建立更安全、可信且符合治理原則的 AI 應用環境。

1. AI 紅隊演練（因應「六大風險管理」與「資訊安全評估」）

衛福部指出，醫療機構應針對模型偏差、資料來源風險、輸出結果風險及資安攻擊風險進行辨識與管理，並在導入前完成適當的安全評估與驗證。Vulcan 提供 AI 紅隊演練（AI Red Teaming），可依據實際醫療應用情境模擬各類攻擊與異常使用情境，協助醫療機構驗證生成式 AI 系統是否存在：

• • 提示詞注入攻擊
  • 敏感資訊外洩
  • 系統提示詞洩漏
  • AI 幻覺
  • 資料與模型污染
  • 不當內容與偏見輸出

並依據 OWASP Top 10 for LLM、MITRE ATLAS 及 NIST AI RMF 等國際框架進行評測，作為導入前風險評估與安全驗證的重要依據。此類驗測尤其適用於醫療聊天機器人、病歷輔助系統、臨床知識查詢及病人服務等生成式 AI 應用場景。

2. 即時監控與防護機制（因應「導入後使用與監管」）

指引強調，生成式 AI 的治理不應止於系統上線，而應建立持續監測與改善機制。Vulcan 提供即時監控與防護機制（Guardrails），可針對輸入與輸出內容進行持續監控，協助偵測提示詞注入攻擊、敏感資訊外洩、不當內容與偏見輸出等風險，並依據組織需求建立 AI 使用政策與控制規則，降低實際運作過程中的風險暴露。

3. AI 治理與持續風險管理（因應「風險分級與持續治理」）

衛福部要求醫療機構建立 AI 系統清冊、風險分級及持續監測機制，並確保 AI 系統具備可追溯與可管理能力。透過 Vulcan 的 AI 紅隊演練、即時監控及防護機制，組織可建立更完整的 AI 安全與治理流程，協助回應主管機關對於安全性、透明度、可追溯性及持續改善的要求。

結語：以安全治理為基礎，推動醫療 AI 負責任發展

衛福部《醫療機構應用生成式人工智慧指引》的發布，並非要限制醫療創新的步伐，而是希望在推動 AI 應用的同時，建立兼顧病人安全、資訊保護與風險治理的管理機制。

從本次指引可以看出，主管機關關注的已不只是 AI 模型本身，而是整體 AI 系統在導入前、導入中及導入後的安全性、透明度與可治理性。未來醫療機構除了評估 AI 是否能提升效率，也需要建立風險盤點、安全驗證、持續監測及治理機制，以降低 AI 應用可能帶來的風險。

透過 AI 紅隊演練、即時監控與防護機制，Vulcan 協助醫療機構識別、驗證並降低生成式 AI 應用風險，在推動創新的同時兼顧病人安全、醫療品質與合規要求。

如欲進一步了解 Vulcan 如何協助醫療機構安全、可信且負責任地導入生成式 AI，歡迎與我們聯繫。