防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引

  由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。

  針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:

  1. 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
  2. 安裝防毒軟體,並維護其運作;
  3. 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
  4. 限制員工下載、安裝和運作未經批准的軟體;
  5. 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。

  此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。

相關連結
相關附件
你可能會想參加
※ 防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8732&no=67&tp=1 (最後瀏覽日:2026/07/02)
引註此篇文章
你可能還會想看
歐盟「永續經濟活動分類規則」(Taxonomy Regulation)

  自從2004年聯合國發布之「Who Cares Wins」文件首次提及ESG原則,近年來國際企業不斷倡導ESG原則,即企業針對環境(Environmental)、社會(Social)、公司治理(Governance)三大面向之要求。歐盟從一開始倡導呼籲企業遵守ESG原則的階段逐漸發展為將ESG原則融入具有法律效力之規範。目前歐盟針對ESG原則擁有兩大基石,也就是2019年11月頒布的「歐盟永續財務揭露規則」(Sustainable Finance Disclosure Regulation)以及2020年6月頒布的「永續經濟活動分類規則」(Taxonomy Regulation)。   「永續經濟活動分類規則」係起源於歐盟委員會於2018年3月發布之「歐盟關於金融永續發展行動計畫」。直到2020年6月,歐洲議會與歐盟理事會終於共同公布「永續經濟活動分類規則」,該法規的目的為:為歐盟建立一個統一通用的法律框架,以分類經濟活動是否具有環境永續性。該法規規定所有金融商品都必須根據該分類規則進行分類。對於宣佈具有環境永續性之商品,皆必須揭露如何適用分類規則以及符合該分類規則;而針對不符合環境永續性之其他商品(包括那些具有ESG目標但不具備環境永續性的商品)將必須提出聲明該金融商品未符合歐盟的永續經濟活動分類規則。   而針對金融商品是否具備環境永續性,需視其是否對於下列事項作出重大貢獻。例如:減緩氣候變化;適應氣候變化;水和海洋資源的持續利用和保護;發展可循環性經濟;污染防治;生物多樣性和生態系統的保護和恢復。   「永續經濟活動分類規則」雖然於2020年6月公布,並於同年7月12日生效,但其中許多重要規定仍尚未明文,須待後續授權之施行細則規範。重要時程如下: 2020年12月31日通過就氣候相關目標的科技篩選標準之施行細則。 預計於2021年12月31日通過就所有其他環境相關目標的科技篩選標準之施行細則。 預計於2022年1月1日達成氣候相關之目標。 預計於2023年1月1日達成所有其他環境相關之目標。   隨著歐盟「歐盟永續財務揭露規則」以及「永續經濟活動分類規則」的發展,逐漸將ESG原則融入法規中,可以明顯看出國際間對於ESG原則愈發要求。我國金管會亦跟隨國際潮流,於2020年8月公布之「綠色金融行動方案2.0」提及永續金融之概念,是以,我國企業亦應著重企業自身針對ESG原則之要求,以與國際趨勢接軌。

美國FDA對於基因工程鮭魚核准上市及產品標示議題,舉行公聽會討論

  美國食品和藥物管理局(U.S. Food and Drug Administration,FDA)於2010年9月19日到21日針對是否核准基因工程鮭魚(genetically-engineered salmon,GE salmon)上市舉行了公聽會。經過各界討論,目前仍未做出決定,但各界均同意於決定是否核准該鮭魚上市前,仍需做進一步的研究測試。   該基因工程鮭魚又名 AquAdvantage,其成長賀爾蒙不但只於較高溫度的水域環境時才分泌,而亦可全年都分泌該種賀爾蒙。因此特性,此種鮭魚成長速度比一般同類型的鮭魚快兩倍,而其所能被食用的時間也相對較早。   根據美國FDA的報告結論,基因工程鮭魚的安全性和其他類型的鮭魚一樣,所以如果為人類食用的話,並不會造成危險。此外,該鮭魚的養殖地點與海岸仍有一段距離,因此其可能對野生鮭魚造成威脅的問題可被忽視。然而,於本次公聽會中也提出,由於現階段的研究數據結果不足,因此仍須進行進一步的相關測試後才能做出結論。   另外,對於基因工程鮭魚上市後該如何標示該產品,也是另一個討論重點;針對此議題,美國FDA會另外舉行公聽會。目前,美國FDA對於上市核准的食物標示僅要求需標示其身分、營養成分、和潛在的過敏反應即可。由於美國FDA認定該基因工程鮭魚與一般鮭魚並沒有“生物學上的相關差異性”(no biologically relevant different)存在,對此,美國FDA表示,相同的作法有可能也會適用於基因工程鮭魚上。就社會大眾知的權利和現行法制的適用兩者間該如何取捨,即變成了當前該議題的討論重點所在。故,美國FDA未來是否會准許該種基因工程鮭魚上市,且上市後其食品標示又該如何加以標示,都是未來需要再做進一步觀察的。

LV賣炸雞?南韓炸雞店仿作LV名稱及圖騰遭控商標侵權

  一名南韓金姓男子以「LOUIS VUITON DAK」為名開設炸雞店,於2015年9月遭法國精品品牌Louis Vuitton Malletier(以下簡稱LV)提起商標侵權訴訟,法院判決金姓男子應停止使用與LV近似的商標和圖騰。近日(2016年4月)法院認為金姓男子未遵從禁令,仍持續使用與LV商標近似的店名,判決金姓男子賠償1450萬韓元(約41萬元台幣)。   金姓男子以韓文全雞「tongdak」的諧音,將炸雞店命名為「LOUIS VUITON DAK」,並於炸雞外帶餐盒及紙巾上,印製使用與LV商標圖騰極為相似的圖案。此舉引來LV的不滿,於2015年9月向南韓法院提起訴訟,認為金姓男子使用LV的近似名稱販賣炸雞,將對LV的品牌形象帶來嚴重損害。2015年10月,法院要求金姓男子立即停止使用近似LV的商標圖騰及店名,否則將處以一日50萬韓元的罰款。金姓男子後將店名改為「chaLouisvui tondak」,然而LV仍認為該店名與其商標有部分雷同。法院同意LV的主張,認為金姓男子雖更改了店名拼法,但其讀音仍與「LOUIS VUITON DAK」幾乎相同,因此以一日50萬韓元的罰款金額,計算使用新店名的29日,判決金姓男子須向LV賠償1450萬韓元。 【本文同步刊登於TIPS網站(http://www.tips.org.tw)】

美國聯邦航空總署針對特殊類型無人航空器提出新的適航性準則

  美國聯邦航空總署(Federal Aviation Administration, FAA)於2020年11月23日針對10種特殊類型(special class)無人航空器提出新的適航性準則(airworthiness criteria),以納入更多聯邦法規第107篇(14 CFR Part 107)所無法涵蓋之複雜無人航空器應用類型,包括包裹運送(package delivery)。   FAA目前正針對其所提出之適航性準則蒐集公眾之意見,故將相關特殊類型之無人機應用申請案公告於聯邦公報(Federal Register)中,提供30天予公眾針對該申請案之適航性表示意見,後續正式公布該適航性準則時亦會將相關意見納入考量。   該適航性準則將成為特殊類型無人航空器之安全標準,並能夠為相關特殊類型之無人航空器取得型式安全審驗合格證明(type certificate)建立之參考準則之一。   該適航性準則主要適用於重量在5-89磅之電動定翼(fixed wing)與旋翼(rotorcraft)無人機。FAA說明,該特殊類型無人航空器若通過此準則,僅表示其符合該適航性準則所規範之類型,惟其是否能夠執行飛行任務,尚須檢視有否符合FAA相關操作規範,包括操作人員是否取得許可證、操作之空域是否為禁限航區等。

TOP