防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
英國於三月份發布2021年度財政預算案,其中說明為鼓勵新創企業(快速成長型企業)發展而公布了八項策略,包含:立即提供救濟以抵抗新冠肺炎帶來的風暴、政府成立新基金「Future Fund: Breakthrough」投資新創企業、企業激勵員工措施(EMI)之重視、發行高科技技術簽證、培養下一世代人才、新創企業協助成長計畫(針對數位化及企業管理)、研發稅收減免計畫之修正以及英國主板上市規則之修正。 其中英國主板上市規則之修正部分,主要委託外部專家Lord Hill信行獨立審查。經審查後專家提出15項建議,包含: 財政部須向議會提交一份年度報告,並於報告中說明已採取或即將採取之專家建議。 財政部應隨時注意英國金融行為監理總署 (Financial Conduct Authority, FCA)是否為英國打造適合新創企業發展並擁有良好監管之公開市場。 應於優質板(Premium Listing)開放上市公司使用雙層股權結構,但須搭配相關監管措施以維持良好公司治理。 重新定義、命名標準板(Standard Listing)。 修正並降低股權分散之要求,並建議依據不同規模公司設置不同分散比例。 放寬特殊目的收購公司(Special Purpose Acquisition Company, SPAC)限制,同時為保護一般投資人建議新增「異議股東股份收買請求權」。 建議修正公開說明書相關部分,如:放寬豁免規定、允許使用替代文件。 建議考量於英國二次上市之企業毋庸另行製作公開說明書,而允許使用於其他國家上市之公開說明書。 建議修正董事以及發行人責任,促使其提供前瞻性訊息。 擴大科技研發公司上市時豁免獲利之要求至其他新創企業。 建議降低優質板歷史財務文件之要求。 考量如何運用科技提高一般投資人參與公司治理。 修改上市規則以利提高公司籌資之效率。 審查現行公開發行相關規則,確定各規則均有符合設立目的。 放寬廣泛金融生態系統限制,如:放寬養老基金投資限制、解決競爭稅收環境以及中小企業研發優惠。
基改小麥事件爆發 基改標示議題再上火線基因改造食品的安全性,向來引起全球關注,各界爭議不休。美國農業部在上(5)月29日公開表示,在奧勒岡州(Oregon)的私人農場中發現基因改造小麥,這是否屬於單一個案,還是意味著基改防線已有所瓦解,對於美國基改管理體系具有重大意義。以目前而言,美國尚未核准任何基因改造小麥。 美國是全球最大的小麥供應國,每年有4000萬噸小麥輸入亞洲;其中,日本更是美國最重要的海外市場。在本案爆發之後,日本於第一時間暫停來自美國西北的小麥進口至美國境內,這股緊張氣氛預計將快速漫延至其他亞洲國家。 事實上,在這事件同時,於綠色和平(green peace)及其他NGO團體串聯下,全球200萬民眾走上街頭,抗議美國孟山都(Monsanto)及其研發的基因改造食品,包括美國、加拿大、阿根廷等,估計共有52國、436個城市響應,一齊表達對於基因改造食品的不安感。在基因改造食品的長期爭議下,美國有若干州考慮採取立法管制,特別是要求基因改造作物或產品必須要標示清楚,以保護消費者的權益。最新的進展是,在本(6)月4日,康乃迪克州(Connecticut)議會以134比3,通過基因改革食物法案,要求各項食物必須明確標示是否含有基因改造成分。在這之後,緬因(Maine)州也立即跟進,以141比4通過類似的基改標示法案。而案件爆發地–奧勒岡州,則還沒有進一步消息。
日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》(IoT製品に対するセキュリティ適合性評価制度構築方針),以順應國際IoT產品資安政策趨勢,因應日益嚴重的資安威脅。 本制度為自願性認證制度,由情報處理推進機構(情報処理推進機構,簡稱IPA)擔任認證機構進行監督。以IoT產品為適用對象,制定共通因應資安威脅之最低標準,再依不同產品特性需求,制定不同符合性評鑑等級,依評鑑結果進行認證,授予認證標章。不同評鑑等級差異如下: 1.等級一:為共通因應資安威脅之最低標準,可由供應商進行自我評鑑,並以評鑑結果檢查清單申請認證標章,IPA僅會針對檢查清單進行形式確認。 2.等級二:係考量產品特性後,以等級一為基礎,制定應加強之標準,與等級一相同係由供應商評鑑,自我聲明符合標準,IPA僅會針對檢查清單進行形式確認。 3.等級三:係以政府機關或關鍵基礎設施業者為主要適用對象,須經過獨立第三方機構評鑑,並以IPA為認證機構進行認證,確保產品值得信賴。 本制度可協助採購者及使用者依資安需求,選用合適的IoT產品,亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作,達成相互承認,減輕IoT產品供應商輸出海外之負擔。
美國HHS發布2024-2030年聯邦健康IT計畫推動共享醫療體系美國衛生及公共服務部(United States Department of Health and human Services, HHS)於2024年9月底發布「聯邦健康IT策略計畫」(Federal Health IT Strategic Plan),強化電子健康資訊存取、交換和使用,提升健康管理能力、改善醫療照護體驗、推動健康研究及創新,並提出四大目標 四大目標包括: 1. 提倡健康福祉:賦予個人管理自身健康的權利,確保個人和公眾獲得現代且公平的醫療服務,並促進社區健康與安全。 2. 強化醫療照護的提供和體驗:提供安全、公平且優質的醫療服務,擴大病人獲取優質醫療途徑並減少健康差異。加強競爭和透明度改善醫療體系,減輕醫療提供者的監管和管理負擔,並增強使用健康IT工具的信心。 3. 加速研究創新:允許健康IT使用者適當存取健康資料以推動個人和公眾健康的改善。加強個人和公眾層面研究與分析,透過使用代表性不足群體的健康資料,促進健康公平。 4. 醫療資料連結醫療系統:持續推動健康IT工具的開發和應用、資料共享、普及健康IT基礎設施、保護個人隱私和安全、整合的公共衛生資料和基礎設施。 在健康IT策略計畫中也聚焦在健康公平性、人工智慧應用、資料共享及安全性等議題,並提出了六大實施原則:以人為本的包容性設計、安全且優質的健康資訊、資料導向的決策、提升全民健康公平性、鼓勵創新和競爭。透過聯邦政府健康IT策略目標與原則,預期在6年內提供更有效、公平和現在化的醫療系統。