防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引
由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。
針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:
- 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
- 安裝防毒軟體,並維護其運作;
- 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
- 限制員工下載、安裝和運作未經批准的軟體;
- 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。
此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
李宗儒
副法律研究員 編譯整理
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws, Aug. 24, 2021, https://oag.ca.gov/news/press-releases/attorney-general-rob-bonta-calls-full-compliance-state-health-data-privacy-laws (last visited Sep. 16, 2021).
STATE OF CALIFORNIA DEPARTMENT OF JUSTICE OFFICE OF THE ATTORNEY GENERAL, BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting, Aug. 24, 2021, https://oag.ca.gov/system/files/attachments/press-docs/2021AUG24%20Ransomware%20Bulletin.pdf (last visited Sep. 16, 2021).
Jill McKeon, CA Attorney General Calls Out Unreported Healthcare Data Breaches, HEALTHITSECURITY, Aug. 27, 2021, https://healthitsecurity.com/news/ca-attorney-general-calls-out-unreported-healthcare-data-breaches (last visited Sep. 16, 2021).
CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY [CISA], Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector, Oct. 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a (last visited Sep. 16, 2021).
邱曉麗,〈加州消費者隱私保護法修正法案重點說明〉,資策會科技法律研究所,2021/03,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8630&no=64(最後瀏覽日:2021/09/16)。
詹世榕,〈美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則〉,資策會科技法律研究所,2009/11,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=40&d=3167&no=64(最後瀏覽日:2021/09/16)。
世界衛生組織(World Health Organization, WHO)於2023年10月19日發布「人工智慧於健康領域之監管考量因素」(Regulatory considerations on artificial intelligence for health)文件,旨在協助各國有效監管健康領域之人工智慧,發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素: (1)文件化與透明度(Documentation and transparency) 開發者應預先規範(pre-specifying)以及明確記錄人工智慧系統(以下簡稱AI系統)之預期醫療目的與開發過程,如AI系統所欲解決之問題,以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項,並建議以基於風險之方法(Risk-based approach),根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 (2)風險管理與AI系統開發生命週期方法(Risk management and AI systems development lifecycle approaches) 開發者應在AI系統生命之所有階段,考慮整體產品生命週期方法(total product lifecycle approach),包括上市前開發管理、上市後監督與變更管理。此外,須考慮採用風險管理方法(risk management approach)來解決與AI系統相關之風險,如網路安全威脅與漏洞(vulnerabilities)、擬合不足(underfitting)、演算法偏差等。 (3)預期用途、分析及臨床確效(Intended use, and analytical and clinical validation) 開發者應考慮提供AI系統預期用途之透明化紀錄,將用於建構AI系統之訓練資料集組成(training dataset composition)之詳細資訊(包括大小、設定與族群、輸入與輸出資料及人口組成等)提供給使用者。此外,可考慮透過一獨立資料集(independent dataset)之外部分析確效(external analytical validation),展示訓練與測試資料以外之效能,並考慮將風險作為臨床確效之分級要求。最後,於AI系統之上市後監督與市場監督階段,可考慮進行一段期間密集之部署後監督(post-deployment monitoring)。 (4)資料品質(Data quality) 開發者應確認可用資料(available data)之品質,是否已足以支援AI系統之開發,且開發者應對AI系統進行嚴格之預發布評估(pre-release evaluations),以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題,且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險,並繼續努力創建資料生態系統,以促進優質資料來源之共享。 (5)隱私與資料保護(Privacy and data protection) 開發者於AI系統之設計與部署過程中,應考慮隱私與資料保護問題,並留意不同法規之適用範圍及差異,且於開發過程之早期,開發者即應充分瞭解適用之資料保護法規與隱私法規,並應確保開發過程符合或超過相關法規要求。 (6)參與及協作(Engagement and collaboration) 開發者於制定人工智慧創新與部署路線圖之期間,需考慮開發可近用且具有充足資訊之平台,以於適合與適當情況下促進利害關係人間之參與及協作;為加速人工智慧領域實務作法之進化,透過參與及協作來簡化人工智慧監管之監督流程即有必要。
歐洲五大電信公司聯合呼籲歐盟建立Open RAN創新生態系統歐洲五大電信公司──德國電信(Deutsche Telekom)、法國Orange電信、義大利電信(Telecom Italia)、西班牙電信(Telefonica)與英國沃達豐電信(Vodafone)於2021年11月18日聯合發表聲明,呼籲歐盟執委會與成員國加速開放「開放式無線存取網路」(Open Radio Access Network, Open RAN)的技術應用,並提出「為歐洲建立Open RAN生態系統」(Building an Open RAN Ecosystem for Europe)研究報告。 本報告對Open RAN價值鏈和當前供應商進行分析,發現許多歐洲供應商正處於發展初期,未獲得Open RAN商業契約,且在Open RAN關鍵服務的部分類別(如雲端軟體)中,尚未有歐洲供應商。甚至綜觀Open RAN的各項關鍵服務分布,歐洲供應商僅有少數等。因此,本報告強調歐洲需迫切將Open RAN作為戰略重點,並提出以下五點建議: (一)歐盟的政策制定者應積極推動發展創新、開放及可互通之電信生態系統,並期望歐盟執委會、成員國與產業利害關係人,透過對話與討論,促使全歐洲對Open RAN生態系統之建立產生共識。 (二)執委會應成立下世代通訊基礎設施聯盟,如同過去其為雲端與半導體設立聯盟,作為推動該產業的關鍵力量。此外,為迎接Open RAN新興技術,應提倡如歐盟共同利益重要計畫(Important Projects of Common European Interest, IPCEI)的微電子和通訊技術、5G產業協會與共同承諾推動智慧網路服務多國計畫。 (三)政策制定者應降低歐盟供應商和新創企業之投資風險,並對歐洲未來具有戰略意義的技術領域,以資金與租稅等激勵措施,支持歐洲供應商合作。如由歐盟執委會和各國政府為財團提供資金,使歐洲公司建立穩固的合作關係,並成為Open RAN價值鏈中茁壯成長的供應商。 (四)O-RAN聯盟(O-RAN ALLIANCE)與第三代合作夥伴計劃(3rd Generation Partnership Project, 3GPP)及歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)正式合作,支持採用O-RAN規範作為ETSI的自願性標準,可透過快速程序對現有3GPP規範進行補充。透過促進全球統一的Open RAN標準,確保開放性網路設備的互通性,如:全歐認證的品質與互通性,建立生態系統部署者的信心。 (五)歐盟應與國際合作,促進安全、多樣化及可持續的資訊與通訊技術供應鏈,如:利用七大工業國組織(Group of Seven, G7)、美歐貿易和技術委員會(EU-US Trade and Technology Council)與日歐資通訊技術對話(Japan-EU ICT Dialogue)促進發展和部署開放且可互通的網路架構。
日本經產省公布零售電力業指引修正案,以配合電力市場新制度之實施日本經濟產業省2018年9月公布《零售電力業指引》 (電力の小売営業に関する指針,以下稱「本指引」)修正案。 本次主要修正方向為零售電力業者購買電力時若有以下情形,應如何於電源結構表上說明供用電戶參考:(1)跨區調度電力:同年10月開始,零售電力業者若需跨區調度電力,改由日本電力交易所使用「間接競拍」(間接オークション)分配電力容量。故本指引配合規定,原則上以跨區調度取得之電力歸類於電源結構表的「電力交易所」中;(2)使用非化石價值證書:本指引規定,若零售電力業者自日本電力交易所購得非化石價值證書,可於電源結構表中標示使用非化石價值證書之電力配比,並註明如:「本公司販售之受再生能源躉購費率制度(FIT)補助之電力,係使用再生能源限定之非化石價值證書,具有以再生能源發電之實質價值。」;(3)販售特定電源方案:若零售電力業者提供用電戶特定的電源方案,本指引建議業者在製作電源結構表時,應先扣除總電量中特定電源方案之電量後,再計算餘下電量及配比,並註明如:「本公司向部分用戶販售內含水力發電20%以上之特定電源方案,其他非以特定電源方案進行銷售的電源結構請參考圖表。」若未先扣除再計算,也應在表中註明總電量中內含特定電源方案銷售之電量數據。(4)標示電力產地:若零售電力業者以電力產地做為賣點,可依電力來源於電源結構表中標示「自產自消」或「○○地域產電力」。
歐洲藥物管理局(European Medicines Agency,簡稱EMA)發佈針對準備與審查產品特性摘要(summaries of product characteristics,簡稱SmPCs)的指導方針EMA近日針對醫藥公司,在其欲申請人體藥物上市核准的申請文件中,針對如何準備與審查產品特性摘要之文件,提供醫藥公司相關的指導方針。 產品特性摘要不僅是醫藥公司之新藥物在向歐盟申請上市核准時所必須提供的重要文件,也是健康照護專業人員在獲知如何有效並安全使用藥物時的基本資訊來源。產品特性摘要在藥品生命週期存續時必須定時保持更新,以確保無藥物效用性與安全性疑慮的新問題發生;同時,其也是在藥物包裝上所必須含有的基本資訊,以確保藥物服用者能對其所服用的藥物有更多的了解和進行各類風險評估。 產品特性摘要文件,主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時,必須遵循歐盟2001/83/EC號指令第11條之規定,附加產品特性摘要於申請文件,以供主管機關作為申請核駁之依據。在EMA針對產品特性摘要所提供的指導方針中,主要係以簡報與影片的方式,來教導醫藥公司如何在產品特性摘要的各個項目中,提供有關申請藥物更為完整與細部的背景資訊。其中,有關於解釋如何完成治療指示(therapeutic indication)與藥物藥效成分(pharmacodynamic properties of a medicine)之項目,於EMA的指導方針中,亦以明確的影片指導來協助醫藥公司提供高品質的產品特性摘要內容。 有鑑於治療人體疾病之藥物,對於人類生理與心理層面攸關重大,如何要求醫藥公司在提出人體藥物上市許可之申請時,能提供藥物完整的背景資訊,以確保從事健康照護之人員以及藥物服用者,完全了解藥物使用方式、效用與風險,則是主管機關無從推卸的責任。觀察EMA針對人體藥物之產品特性摘要製作出完整的指導方針,或許我國衛生機關也可效仿該種方式,來提供國內醫藥公司在提出藥物上市申請時之參考,以確保各項資訊透明並保護藥物使用者在「知」方面的權益。