防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引

  由於近日頻傳醫院遭受勒索軟體攻擊(ransomware attacks),美國加州檢察總長於2021年8月24日發布官方公告(bulletin):在加州州法「醫療資訊保密法」(Confidentiality of Medical Information Act, CMIA)與聯邦法「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)規範下,蒐集、處理和利用醫療健康資料的醫療照護機構,有採取適當措施與事故通報的義務,以維護醫療健康資料保密性。

  針對「採取適當措施」的內容,美國加州檢察總長於本次官方公告中,提出明確指引(guidance):醫療照護機構須至少採取下列5項防範措施(preventive measures),以避免勒索軟體威脅:

  1. 確保所有存取醫療健康資料的作業系統與軟體,均升級至最新版本;
  2. 安裝防毒軟體,並維護其運作;
  3. 定期為員工舉辦教育訓練,包含教導員工不要點擊可疑網址和防範釣魚電子郵件(phishing email);
  4. 限制員工下載、安裝和運作未經批准的軟體;
  5. 維護和定期測試資料備份與救援計畫,以便於事故發生時,控制對資料和系統的影響範圍及程度。

  此外,針對「資料外洩事故通報義務」(breach notification obligations),美國加州檢察總長指出:依據「加州民法」(California Civil Code)第1798.82條,擁有或經授權使用含有個人資料的「電腦化資料」(computerized data)的醫療照護機構,於發生,或可合理確信發生,影響超過500位加州居民的資料外洩事故時,即負有將該事故通報檢察總長辦公室的義務。

相關連結
相關附件
你可能會想參加
※ 防疫也須防弊!美國加州檢察總長針對醫療照護機構遭受勒索軟體攻擊提出適當措施與事故通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8732&no=67&tp=1 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
日本數位廳發布資料治理指引,協助企業運用資料提升企業價值

日本數位廳發布資料治理指引,協助企業運用資料提升企業價值 資訊工業策進會科技法律研究所 2025年09月05日 隨著AI迅速普及已成為不可逆轉的趨勢,經濟與社會產生重大變革,手機、家電及各種智慧裝置大量蒐集資料,似已成為維持經濟與社會運作不可或缺的重要要素,在國際上已出現如歐洲共同資料空間(Common European Data Space)等先進的資料運用案例,日本亦開始推動企業跨領域資料運用,藉此提升企業生產力與附加價值[1]。 壹、事件摘要 日本數位廳(デジタル庁)於2025年6月20日發布資料治理指引(データガバナンス・ガイドライン),以企業經營者為適用對象,歸納總結資料治理之必要性、應採取之做法,與實踐治理過程中應留意之要點,協助企業推動數位轉型,發揮資料最大效用,持續提升企業價值,並進一步實現超智慧社會[2](Society 5.0)願景[3]。 貳、指引重點 本指引歸納總結實踐資料治理的四大支柱,概述如下: 一、設計符合跨境傳輸資料實際狀況之業務流程 資料共享與協作的主要目的是推動數位轉型與提升企業價值,因此,運用跨境資料時,需要調查當地國家或地區法規,釐清國際規範,並預測後續法規動向,克服法規限制。為評估運用跨境資料之潛在風險,則須透過如顧問公司、諮詢公司等第三方外部機構進行調查與監控,採取適當風險因應措施。為明確責任,須事先與資料共享之利害關係人,將瑕疵擔保責任透過契約與相關規定明文化。在修改業務流程時,亦須與相關組織及利害關係人共享資訊,確保資料在生命週期中的可追溯性[4]。 二、確保資料安全(データセキュリティ) 以資料生命週期為基礎,掌握運用跨境資料可能產生之風險,並依照相關組織與利害關係人值得信賴之程度,進行風險分析制定因應策略。針對業務流程中取得的資料,應限制在資料產生者允許之範圍內,始得進行運用,以維護資料使用正當性。此外,亦須特別留意資料完整性,確保資料來源值得信賴且未受到偽冒,以及資料內容未遭到竄改或洩漏[5]。 三、提升資料成熟度(データマチュリティ) 制定並推動可提升資料成熟度[6]之方針,持續改善流程,將資料價值最大化,並將風險最小化,提升企業綜合能力。資料長(Chief Data Officer, CDO)須發揮領導能力,建立能迅速因應變化的體制,明確各組織相關負責人與其角色,並推動具備資料相關技能之人才培育招聘計畫。資料長亦須分析導入如AI等先進技術之費用效益,向經營者提出建議。除了公司自身狀況會影響資料成熟度外,亦可能受到資料共享與協作之利害關係人的資料成熟度水準影響。因此,公司亦須將採取之具體措施與相關資訊分享予利害關係人,並向社會公開公司目前資料成熟度水準,持續強化企業與利害關係人及社會之間的相互信賴程度[7]。 四、制定並定期檢討AI等先進技術運用行動方針 為使AI等先進技術發揮最大力量,並降低對社會與個人可能造成的負面影響,企業應參考經濟產業省(経済産業省)於2025年3月28日發布之AI業者指引第1.1版[8](AI事業者ガイドライン第1.1版),並考量個人資料保護、機敏資料保護、透明度、可問責等重要因素,針對涉及資料運用的各種實務運用場景,由CDO主導制定運用AI等先進技術運用行動方針(AIなどの先端技術の利活用に関する行動指針),並適時檢討持續改善內容[9]。 參、事件評析 當資料留存在企業內部未被有效運用時,不僅會成為企業和產業發展之阻礙,也將導致社會整體效率低落。本指引歸納總結實踐資料治理的四大支柱。為達成協助企業運用資料推動數位轉型,提升企業價值之目標,除了需要企業管理階層主導,亦須獲得公司內部與利害關係人之理解與支持。企業應積極與其他企業、組織和機構進行資料共享與協作,積極參與資料治理,提高產品與服務價值及企業聲譽,進而促進社會永續性發展[10]。 隨著國際上已出現先進資料運用案例,我國亦須關注資料運用國際趨勢推動創新發展,日本推動企業跨領域運用資料之做法,亦可為我國未來實踐資料治理提供借鏡。 [1]〈データガバナンス・ガイドライン〉,デジタル庁,頁2-3,https://www.digital.go.jp/assets/contents/node/information/field_ref_resources/71bf19c2-f804-488e-ab32-e7a044dcac58/b1757d6f/20250620_news_data-governance-guideline_01.pdf (最後瀏覽日:2025/09/02)。 [2]〈Society 5.0〉,内閣府,https://www8.cao.go.jp/cstp/society5_0/index.html (最後瀏覽日:2025/09/02)。 [3]前揭註1。 [4]同前註,頁13。 [5]同前註,頁15-16。 [6]資料成熟度係指企業根據其戰略或經營需求,有效運用資料的能力。可參閱同前註,頁5。 [7]同前註,頁18-19。 [8]〈AI事業者ガイドライン〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html (最後瀏覽日:2025/09/02)。 [9]前揭註1,頁20-23。 [10]同前註,頁24-25。

電信業者提供視訊服務之外國法制研析

「美國疾病控制和預防中心」公布對長照機構之居民施打疫苗之措施

  美國疾病控制和預防中心(Centers for Disease Control and Prevention, CDC)(下稱中心)於2021年3月5日公布長照機構(下稱機構)居民施打新型冠狀病毒(COVID-19)(下稱病毒)疫苗之重要措施。由於機構內人口密集、居民本身已患有疾病,其所面臨死亡的風險比一般人高,因此應重視此類族群的疫苗接種情形。   中心期望透過施打疫苗來降低機構居民可能死於病毒之風險。目前此疫苗已經過多次的臨床試驗,參與臨床試驗之族群也包含65歲以上之長者,多方面確保符合各族群的施打疫苗之安全性,而目前試驗過程中也並未出現嚴重的安全問題,即使出現副作用也多是較輕微症狀,例如施打部位之疼痛、發燒、發冷等症狀,中心認為施打的好處優於副作用,因此中心與美國疫苗接種諮詢委員會(Advisory Committee on Immunization Practices,ACIP)同意對機構居民進行疫苗施打。   由於機構之居住者多為無法獨立自理生活之失能者,需透過機構來提供失能者醫療服務,而居民大多本身就有一些疾病,受感染病毒而造成死亡的機率較大,雖然法律並沒有特別要求應徵得當事人同意才能施打疫苗,但中心認為徵得居民同意,或徵得代表居民做出醫療措施決定之人的同意施打疫苗會比較謹慎,並且在施打前必須說明與解釋疫苗施打的風險,以及依照作業程序將施打紀錄製作於文件中。   中心也正在與多家藥局合作,協助機構對於施打疫苗之居民與家屬進行風險告知與解釋說明施打疫苗之相關知識,除了取得居民之同意並採取紀錄程序外,每位接受施打疫苗之居民或居民之照顧者將會取得疫苗接種紀錄卡,因為某些疫苗需要注射兩次以上才能達到最佳保護,紀錄卡能顯示完整的疫苗施打過程。除此之外,措施規定居民在施打疫苗後必須遵守幾點注意事項: 施打疫苗後必須配戴口罩。 與他人保持至約183公分之距離。 避開人群和通風不良的地方。 勤洗手與消毒。 遵循中心發布之旅行指南。 遵循隔離指導。   有此可知中心期望能透過施打疫苗的方式來降低居民因病毒而受感染死亡之風險,也透過徵得居民書面同意文件的方式,以確保中心與居民之醫療程序保障。

歐盟創新採購機制觀測

TOP