衛福部推 SBOM 填補醫療 AI 供應鏈漏洞 醫療主權雲八大方針近期出爐

衛福部資訊處處長李建璋於 5/6 在台灣資安大會醫療資安論壇上揭露，衛福部下一步將在「負責任 AI 中心」推動導入 SBOM（Software Bill of Materials，軟體物料清單）機制，目的是降低醫療 AI 軟體供應鏈漏洞風險。同時，衛福部與微軟、Google 雲端、AWS 三大公有雲業者就「醫療主權雲八大方針」的溝通已接近完成，近期將公布正式版本。

從技術背景看，SBOM 是一份完整列出軟體所有元件、依賴項、來源與版本的清單。對醫療 AI 系統而言，SBOM 的價值在於——當某個底層元件爆出漏洞（如 Log4Shell、OpenSSL 高風險漏洞），醫院 IT 可以快速比對自家所有醫療軟體中是否包含受影響元件，並針對性修補。沒有 SBOM 的環境下，醫院常需要等廠商主動通知，反應時間以週為單位。

李建璋特別點出醫療 AI 的資安風險不只來自模型本身，而是背後龐大的軟體供應鏈。一套醫療 AI 系統可能整合了第三方影像處理、機器學習框架、資料庫、Web Server、API Gateway 等數十個元件，任何一個環節出問題都可能成為攻擊入口。SBOM 機制可大幅縮短「漏洞揭露 → 影響評估 → 修補執行」的整體時間。

「醫療主權雲八大方針」是另一項關鍵政策。衛福部延續今年初與三大公有雲業者的溝通，預期方針正式版將涵蓋：加密金鑰由醫院掌握（廠商無法直接讀取資料）、資料未經醫院授權不得二次利用、資料儲存地理位置可指定、合規審計可由第三方執行、資料外洩通報機制、跨雲服務轉移能力等。醫院未來選擇公有雲服務時，雖會多出 5%–15% 成本，但可獲得更完善的資料主權保障。

對台灣醫療產業的影響是多面向的。對醫院而言，這項政策提供清楚的「上雲指南」，但也意味著上雲成本上升。對 AI 醫療新創而言，產品設計必須符合 SBOM 與主權雲規範，提高合規門檻但也提升買家信任。對國際雲端業者而言，要在台灣醫療市場拿單必須提供「主權雲」級別服務，否則將被排除在採購名單之外。

對國際比較而言，台灣醫療主權雲規範的推進速度超過多數亞洲國家。歐盟在 GDPR 與 EHDS（European Health Data Space）框架下也推動類似機制，但執行細節的拍板速度較慢。台灣若能率先建立完整規範，將為未來醫療 AI 產品輸出提供「合規認證」優勢。

未來觀察重點將是醫療主權雲八大方針的具體條文、各大公有雲業者的對應方案、以及醫院實際採購行為的轉變。當醫療資料成為 AI 時代最敏感的高價值資產，台灣的政策架構正以前所未見的速度成型。