美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
日本Pioneer於11月13日向美國國際貿易委員會(International Trade Commission, ITC)控告美國GPS大廠Garmin侵害其下三項美國車用導航技術專利,並要求禁止Garmin進口及銷售涉及所侵犯之相關產品。 該訴訟主要起因於Pioneer所擁有的三項美國專利(專利號分別為第5,365,448號;第5,424,951號及第6,122,592號),其車用導航系統,包含如到達目的地時可自動刪除導航資料,或顯示不同位置間距離等相關功能。Pioneer已授權給其他公司使用,但與Garmin雙方進行討論授權時,由於Garmin針對Pioneer之車用導航系統專利組合所評估授權價值不甚合理,導致談判破裂,才促使Pioneer提出控告,並禁止Garmin將涉嫌侵權之產品進口至美國進行銷售。希冀Garmin尊重Pioneer的智慧財產權。 Pioneer就所擁有的兩項歐洲專利(專利號分別為第0,775,892號;第0,508,681號)已於10月9日向Garmin 於德國Dusseldorf地方法院提出控告,並請求損害賠償。 Garmin發言人Jessica Myers針對Pioneer所提出控告的專利認為是無效,且該控告將不影響Garmin繼續銷售相關系列產品。
日本訂定氫燃料基本戰略,推廣氫燃料使用並降低碳排放。日本於2017年12月26日「第2次再生能源及氫氣等閣員會議」中,作為跨省廳之國家戰略,訂定「氫燃料基本戰略」(下稱「本戰略」),2050年為展望,以活用及普及氫燃料為目標,訂定至2030年為止之政府及民間共同行動計畫。此係在2017年4月召開之「第2次再生能源及氫氣等閣員會議」中,安倍總理大臣提出為了實現世界先驅之「氫經濟」,政府應為一體化策略實施,指示於年度內訂定基本戰略。為此,經濟產業省(下稱「經產省」)邀集產官學專家,召開「氫氣及燃料電池戰略協議會」為討論審議,擬定本戰略。其提示出2050年之未來之願景,從氫氣的生產到利用之過程,跨各省廳之管制改革、技術開發關鍵基礎設施的整備等各種政策,在同一目標下為整合,擬定過程中有經產省、國土交通省、環境省、文部科學省及內閣府為共同決定。 氫燃料基本戰略之訂定,欲解決之兩大課題: 第一,能源供給途徑多樣化及自給率的提高:日本94%的能源需依靠從海外輸入化石燃料,自給率僅有6-7%,自動車98%的燃料為石油,其中87%需從中東輸入。火力發電場所消費的燃料中,液態天然氣(LNG)所佔比例也在上升中,而LNG也幾乎全靠輸入。 第二,CO2排出量的削減。日本政府2030年度之CO2排出量預定比2013年度削減25%為目標。但是,受到東日本大地震後福島第一核能發電廠事故的影響,日本國內之核能電廠幾乎都停止運轉,因此LNG火力發電廠的運轉率也提高。LNG比起煤炭或石油,其燃燒時產生CO2之量較為少,但是現在日本電力的大部分是倚賴LNG火力發電,CO2排出量仍是增加中。 因此本次決定之氫燃料基本戰略,係以確實建構日本能源安全供給體制,並同時刪減CO2排出量為目標,能源如過度倚賴化石燃料,則係違反此二大目標,因此活用不產生CO2的氫燃料。但是日本活用氫燃料之狀況,尚處於極小規模,或者是實驗階段。把氫燃料作為能源之燃料電池車(FCV),其流通數量也非常少,而氫燃料販賣價格也並非便宜。 氫燃料戰略之目標係以大幅提高氫燃料消費量,降低其價格為目的。現在日本氫燃料年間約200噸消費,預定2020年提高至4000噸,2030年提高至30萬噸,同時並整備相關商用流通網。為了提高氫燃料消費量,需實現低成本氫燃料利用,使氫燃料之價格如同汽油及LNG同一程度之成本。現在1Nm3約為100日圓,2030年降低至30日圓,最終以20日圓為目標,約為目前價格之5分之一為目標,在包含環境上價值考量,使其具備與既有能源有同等競爭力。 實現此一目標需具備:1.以便宜原料製造氫, 建立氫大量製造與大量輸送之供應鏈;2.燃料電池汽車(FCV)、發電、產業利用等大量氫燃料利用及技術之開發。 以便宜原料製造氫, 建立氫大量製造與大量輸送之供應鏈 透過活用海外未利用資源,以澳洲之「褐碳」以及汶萊之未利用瓦斯等得製造氫,目前正在大力推動國際氫燃料供應鏈之開發計畫。水分含量多之褐碳,價格低廉,製造氫氣過程中產生之CO2,利用目前正在研究進行中之CCS技術(「Carbon dioxide Capture and Storage,CO2回收及貯留技術),將可製造低廉氫氣。為了將此等海外製造之氫氣輸送至日本,使設備大規模化,並開發特殊船舶運輸等,建立國際氫燃料供應鏈。再生能源採用的擴大與活化地方:再生能源利用擴大化下,為了確保能源穩定供應,以及有必要為剩餘電力之貯藏,使用過度發電之再生能源製造氫燃料(power to gas技術)而為貯藏,為可選擇之方法,目前正在福島浪江町進行相關實證。 燃料電池汽車、發電、產業利用等大量氫燃料之利用 (1)電力領域的活用:前述氫氣國際供應鏈建立後,2030年商用化實現,以17日圓/kwh為目標,氫燃料年間供應量約30萬噸左右(發電容量約為1GW)。未來,包含其環境上價值,與既有LNG火力發電具備相等之成本競爭力為目標。其供應量。年間500萬噸~1000萬噸左右(發電容量16~30GW)。2018年1月開始在神戶市港灣人工島(Port Island),以氫作為能源,提供街區電力與熱能,為世界首先之實證進行。 (2)交通上之運用:FCV預計至2020年為止,4萬台左右之普及程度,2025年20萬台左右,2030年80萬台左右為目標。氫氣充填站,2020年為止160站、2025年320站,2020年代後半使氫氣站事業自立化。因此,管制改革、技術開發及官民(公私)一體為氫氣充填站之策略整備,三者共同推進。 燃料電池(FC)巴士2020年引進100台左右、2030年為止1200台左右。(FC)燃料電池堆高機2020年引進500台左右,2030年1萬台左右。其他如:燃料電池卡車、燃料電池小型船舶等。 (3)家庭利用:家庭用氫燃料電池(ENE FARM),係以液態瓦斯作為能源裝置,使用改質器取得氫,再與空氣中氧發生化學變化,產生電力與熱能,同時供應電力與熱水。發電過程不產生CO2,但是改質過程抽出氫時,會排出CO2。降低價格,使其普遍化為目標,固體高分子型燃料電池(PEFC)在2020年約為80萬日圓,固態酸化物燃料電池(SOFC)約為100萬日圓價格。在集合住宅及寒冷地區、歐洲等需求較大都市,開拓其市場。2030年以後,開發不產生CO2之氫燃料,擴大引進純氫燃料電池熱電聯產。 其他例如: (4)擴大產業利用。 (5)革新技術開發。 (6)促進國民理解與地方合作。 (7)國際標準化作業等。 此一氫燃料戰略之推行下,本年3月5日為了擴大普及FCV,由氫氣充填營運業者、汽車製造業者、金融投資等11家公司,共同進行氫氣充填站整備事業,設立「日本氫氣充填站網路合作公司(英文名稱:Japan H2 Mobility,下稱「JHyM」)」,加速並具體化氫氣充填站之機制,今後以JHyM為中心,推動相關政策與事業經營。預定,本年春天再設立8個充氣站,完成開設100個氫氣充填站之目標。
歐盟資通安全局公布《提升歐盟軟體安全性》研究報告歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。 報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
為降低奈米材料風險以保障健康安全,美國環保署(EPA)擬公佈一系列相關新規範為了致力於確保及避免因特定奈米材料的曝露而不經意對環境、健康與安全(Environmental, Health and Safety,簡稱EHS)帶來潛在危害,美國環保署(Environmental Protection Agency,簡稱EPA)預計將於今(2011)年1月針對奈米材料的管理規範公佈三項新規定,此舉將使得EPA更能對於目前既有與未來新興奈米材料上有更充分的管理空間,同時這三項新規定也將接受來自公眾與各界人士的意見評論。 這三項新規定分別與顯著新用途規則(Significant New Use Rule)、試驗規則(Testing Rule)和資料收集規則(Data Collection Rule)有關。首先,就顯著新用途規則而言,多年來相關倡議團體(advocacy group)請求EPA將既有的奈米材料視為是「毒性物質管理法」(Toxic Substances Control Act,簡稱TSCA)下的顯著新用途,依此EPA將可管理奈米銀、奈米級二氧化鈦、奈米級氧化鋅等材料,亦可因此對要求廠商限制產量、採取勞工安全措施、進行毒性測試,並要求廠商不得故意將奈米材料釋出或排放至環境中。雖然現在尚無法確知詳細法令規定,但已知EPA有意透過TSCA第5條處理上述種種問題,其可能作法為奈米材料將不再受既有化學物質並非顯著新用途的限制,而任何以既有化學物質製成的新型奈米材料將被視為是顯著新用途。 其次,則是試驗規則,目前EPA對於特定奈米材料要求進行90日呼吸毒性試驗,而新規定將在TSCA第4條之下,要求對奈米粘土、奈米氧化鋁、奈米管等也進行相同的試驗。此係由於目前在經濟合作開發組織(Organization of Economic Cooperation and Development,簡稱OECD)主導的毒性試驗計畫之下,仍未有其他國家願意主導奈米黏土、奈米氧化鋁的試驗,以及通常90日呼吸毒性測試所費不貲,故未來美國預計率先投入,各界亦期盼EPA所提出的新規定將准予廠商以合作提出申請,以利於降低成本並落實相關試驗。 此外,資料收集規則將要求廠商必須正式遞交相關奈米材料的EHS資料,以供EPA進行評估審查,故新規定將在TSCA第8條之下,將原先EPA「奈米材料管理計畫」(Nanoscale Materials Stewardship Program,簡稱NMSP)的自願性參與改為強制性的資料收集,然而由於TSCA中規定對於僅使用少量奈米材料或作為研究目的者,可申請免除資料收集,故廠商仍可依此排除此一義務。 綜合以上,使用相關奈米材料的廠商應密切觀察未來三項新規定的發展動向,以確定日後如何遵守EPA的相關法令規定,落實風險管控,保障自身權益。