美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。
於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。
該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
- Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016,
- Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016,
- Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services,
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳仕偉
法律研究員 編譯整理
Dena Feldman, Department of Health and Human Services Issues Guidance on HIPAA and Cloud Providers, The National Law Review, Oct. 21, 2016, http://www.natlawreview.com/article/department-health-and-human-services-issues-guidance-hipaa-and-cloud-providers (last visited Nov.8, 2016)
Gretchen A. Ramos, Health and Human Services Issues Guidance on HIPAA and Cloud Computing, The National Law Review, Nov. 3, 2016, http://www.natlawreview.com/article/health-and-human-services-issues-guidance-hipaa-and-cloud-computing (last visited Nov.8, 2016)
Guidance on HIPAA & Cloud Computing, U.S. Department of Health & Human Services, http://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html (last visited Nov. 8, 2016)
日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南(下稱《指南》)》,指南分為三大章,第一章為整體資料環境之變化;第二章為資料治理;第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料引領判斷篇,主要為呼籲企業透過資料分析結果改善企業經營。 《指南》資料引領判斷篇指出,在進行資料驅動的判斷流程時,需留意三點事項,分述如下: (一) 提出假說、驗證並進行決策 首先盤點利害關係人,蒐集各自的需求與課題,考量可以適用的技術與服務,並以此為基礎提出與事業相關的假說。其次,盤點必要資料並確認其利用可能性,同時針對所缺乏的資料進行取得可能性之評估。下一步,以所取得的資料為基礎進行假說與資料分析結果之驗證。而後,將假說與資料分析結果的驗證成果提供給利害關係人,並以利害關係人的意見為基礎,進行追加資料的取得並同時修正假說內容。最後,基於資料分析結果進行決策。 (二) 判斷決策所必要之資料的信賴性 企業在盤點必要之資料以進行分析並據此進行決策時,由於資料沒有達到特定數量無法用於分析、資料蒐集需花費時間成本,且判斷時點有時亦有其時效性,因此,在確保必要之資料時,會先檢視企業內部所持有之資料,而後確認政府機關的公開資料,如仍缺乏必要之資料,則會確認從資料市場取得之可能性等。在確保必要之資料後,則會判斷決策所必要之資料的信賴性,其主要分為兩點,一為針對資料本身之信賴性,包含資料是否有偏頗、對於資料產出者的信賴性以及資料取得日期、地區等;一為資料傳輸、編輯的信賴性,包含對於資料仲介者的信賴性、資料編輯程式以及資料整合方針。在無法完全確保資料的信賴性時,則會透過相關聯的資料進行資料正確性的檢驗。 (三) 服務導入與監視 資料分析並不僅侷限於現在資料的分析,亦會涵蓋未來資料的預測。舉例而言,自動駕駛資料不僅會分析車輛狀況以及周圍狀況,亦會預測並自動判斷是否需要剎車。透過資料分析結果導入服務後,亦應透過監視檢視決策成效,方法包含滿意度調查、平均使用時間調查等,並針對調查結果進行改善。 我國企業如欲將其所持有之資料用於分析並依照分析結果進行企業經營決策,除可參考日本所發布之《指南》資料引領判斷篇建立內含PDCA四面向之管理制度以外,亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,針對自身所持有之資料建立包含PDCA四面向之管理制度。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟創新採購機制觀測 日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium)日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。 只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
瑞典首次針對ISP業者發出阻斷連線禁制令由於網際網路之普及造成違法侵權著作廣泛流通,迫使著作權利人將矛頭轉向ISP業者,請求法院對網路服務業者(以下簡稱:ISP)發出阻斷網路連線禁制令,使用戶無法接近侵權著作。 瑞典Svea法院(Patent- och marknadsöverdomstolen)於今年2月13日就一上訴案件中向ISP發出禁制令(föreläggande),推翻斯德哥爾摩地方法院(Stockholms tingsrätt)於前年11月27日之決定。成為瑞典法院第一次針對ISP業者發出阻斷網路連線禁制令之確定判決(Domen går inte att överklaga)。該案是由華納、新力、聯合音樂、北歐電影與瑞典電影中心聯合提起,請求法院命一瑞典ISP(Bredbandsbolaget)阻斷二個涉及著作權侵害之網站連結(The Pirate Bay, Swefilmer)。 本案原告於一審主張,被告ISP向其使用者提供網路連接到侵害著作權網站之行為,已構成侵害行為的參與(medverkar),據此請求法院發出禁制令以禁止被告繼續參與侵害行為。一審法院未採納原告請求,認為所謂參與必須是瑞典刑法客觀上對侵權行為人有幫助行為,而ISP單純提供其顧客網路連結到侵權網站並非參與侵權行為。惟上訴審Svea法院認為所謂著作權法上之參與侵權行為認定,需考量歐盟法(Infosoc-directivet)下之解釋。而依據歐盟法院現行實務認定,在歐盟資訊社會指令下(Infosocdirektivet 2001/29/EG),即使ISP只提供網路連結到侵權網站,仍得向ISP發出禁制令,非以刑法上對侵權行為人有幫助行為為要件。因此法院認定本案已具備發出禁制令之條件而推翻一審認定。 然而目前法院發出禁制令之作法仍存有諸多問題。其一,禁制令是否真得能夠達成使ISP用戶不接近違法內容之目的,其有效性仍待考驗。其二,法院禁制令是否需就阻斷措施為指定,或是可委由ISP自行決定,只要ISP能達成阻斷目的即可,目前此問題仍有爭論。