美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰
美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。
HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。
而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。
Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳昌鴻
法律研究員 編譯整理
1. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information, HHS, https://www.hhs.gov/about/news/2019/11/27/ocr-secures-2.175-million-dollars-hipaa-settlement-breach-notification-and-privacy-rules.html (last visited Dec. 3, 2019).
2. About Us, OCR, https://www.hhs.gov/ocr/about-us/index.html (last visited Dec. 3, 2019).
3. Breach Notification Rule, OCR, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html (last visited Dec. 4, 2019).
日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。
加州消費者隱私保護法修正法案重點說明隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。 日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範: 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。 換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容: 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容: 將出售或揭露去識別化病患之資訊; 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。 整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。
新冠疫情下日本的數位經濟實踐之路新冠疫情下日本的數位經濟實踐之路 資訊工業策進會科技法律研究所 2021年3月9日 2021年2月,日本經濟團體聯合會(以下簡稱「經團聯」)發布其所舉辦有關「後疫情時代的數位政府與數位經濟」之座談會研討內容。該座談會於2020年12月舉辦,主旨為探討日本持續推進數位轉型與邁向社會5.0目標之過程中,面對新冠肺炎疫情之擴大,有何待解決之課題[1]。 壹、主要問題 數位轉型之層面所涉甚廣,本文認為可初步分為政府面、企業面及個人面。首先,就政府面而言,可探討如何建立e化政府並提供民眾便捷服務。其次,就個人面而言,則可能涉及消費者資料之蒐集與個人隱私資料保護之議題。最後,就企業面而言,則包含同種企業或不同企業間彼此蒐集到的資料共享、利用及分析。 針對企業間,擔任數位經濟推進委員長之篠原弘道於會中指出,數位轉型致力於價值創新,然而,日本業界間的數位轉型存在一極大的待突破問題,即是彼此對於資料資源之分享,尚存不信任甚且互相猜疑,此將不利於資料共享之發展。篠原弘道進一步說明,數位轉型以突破空間與距離之屏障為特色,欲突破此一屏障有賴於民間企業彼此間的合作與信賴,僅只單一企業的資料本身無法有效達至此目標,呼籲日本國內企業能協力合作,強化數位流通與交流[2]。 執此,如何促進企業間的資料分享,建立互相信賴的關係,突破業界間彼此藩籬,即為官方及民間所應努力的目標。 貳、具體案例 就民間而言,日本已有民間發起之企業共享平台,例如2018年5月至12月,三菱房地產於東京車站周邊之大丸有地區進行實驗性的OMY(大手町、丸之內到有樂町一帶的區域,日本俗稱Daimaruyu,簡稱OMY))資料活化計畫,驗證跨行業別企業間的資料利用分配與有效性,期盼能將資料應用於促進該地區的經濟成長、帶動觀光發展,甚至規劃災害措施[3]。 提供該計畫資料服務平台的富士通有限公司經理池田榮次指出,該計畫為了建立彼此信任感,而非一味地僅關注於資料的分析,進行了多達12間公司之間的對談,並也得到了一定的成效。 參、事件評析 有關企業面的資料活用,本文認為可大致分為「單一公司」、「同業種內」及「異業種間」三者。單一公司之資料活用,以壽司郎為例,其將每盤菜餚均以IC標籤管理,藉以蒐集每盤菜餚之新鮮度、銷售情況。從而,累積之資料即可運用於掌握消費者喜好,並避免食材之浪費等[4]。同業種內則涉及相同類別的企業間,藉由共享資料以減低成本。例如不同藥物研發公司,藉由樣本試驗共享,從而擴增實驗母群體之數量[5]。異業公司則可能由位於同一地區之不同企業所構成,例如前揭大丸有OMY資料活用計畫。 經團聯所提出之議題,乃著眼於同業種內及異業種間的跨公司間資料交流不易,因而提出民間企業積極跨越藩籬之呼籲。我國於推動資料共享平台等相關政策時,亦可思考政府端可提供何種支持及資源,以側面促進同種或不同種企業間之資料共享意願;同時,如何令企業理解到彼此間的合作協力,將是新興價值得以開拓的寶貴契機,亦是一大值得省思之重點。 參考連結 日本經濟團體聯合會2月份月刊特集〈後疫情時代的數位政府與數位經濟〉https://www.keidanren.or.jp/journal/monthly/2021/02_zadankai.pdf [1]〈ポストコロナのデジタルガバメントとデジタルエコノミー〉,《経団連月刊》,2月号期,(2021)。 [2]同前註,頁15。 [3]〈異業種データ活用で、東京のビジネスエリアが生まれ変わる【前編】〉,Fujitsu Journal,https://blog.global.fujitsu.com/jp/2019-07-26/01/,(最後瀏覽日:2021/03/09)。 [4]〈15社のビッグデータ活用事例から学ぶ、成果につながる活用の方法〉,https://liskul.com/wm_bd10-4861#3_IC(最後瀏覽日:2021/3/9)。 [5]独立行政法人情報処理推進機構,〈データ利活用における重要情報共有管理に関する調査 調査実施報告書〉,頁9(2018)。
日本推出智財訴訟保險協助中小企業海外發展配合日本經濟產業省與日本特許廳同時於今(2016)年6月8日公布以中小企業為對象所新設的海外智財訴訟費用保險制度,損害保險JAPAN日本興亞(株)於同年7月在日本開始販賣「(國內企業)智財訴訟費用保險」,涵蓋的智財保險對象包括發明專利權、實用新型專利權、設計專利權及商標權。 本次損害保險JAPAN日本興亞(株)所提出的方案為每年保費15萬日幣,每件海外智財訴訟案件補償額度上限為1千萬日幣,補償的項目為訴訟或仲裁所須支付的手續費、律師費、鑑定費、訴訟顧問費等。 根據日本特許廳的公布內容,欲加入海外智財訴訟費用保險制度的中小企業,須透過指定的機構(目前為日本商工會議所、全國商工會聯合會及全國中小企業團體中央會),以該指定機構會員的名義向配合的保險公司提出申請。前述配合的保險公司除了損害保險JAPAN日本興亞(株)之外,還有東京海上日動火災保險(株)及三井住友海上火災保險(株)。 日本特許廳透過前述指定機構,除了對加入智財訴訟費用保險的中小企業補助一半的保險費用之外,當日本中小企業在海外開展業務時,若捲入智財侵權訴訟,透過此保險制度更對已加入智財訴訟費用保險的中小企業補助一半的海外訴訟費用。日本政府新設此保險制度並輔以補助保險費的方式,鼓勵中小企業善加利用,藉此減輕中小企業的負擔、緩解中小企業拓展海外業務的擔憂,並有助於「跨太平洋夥伴關係協定(TPP)」生效後,日本企業在東南亞地區捲入智財相關訴訟的風險應對。 本文同步刊登於TIPS網站(https://www.tips.org.tw)