美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
歐洲專利局(The European Patent Office, EPO)於2019年6月27日發布《2023年戰略計畫》(Strategic Plan 2023, SP2023),協助歐盟應對網路化和全球化的世界挑戰。該戰略計畫之重點為實現專利局五大策略目標,分別為:員工參與(staff engagement)、資通訊現代化(modernisation)、品質(quality)、歐洲專利網路(European patent network)和永續性(sustainability)。 該五大策略目標分述如下: 建立一個參與性、知識性及協作性的組織:幫助員工發揮其專業領域,以及重視識別、招募和留才之方法。 進行EPO 資通訊系統的簡化與現代化:包含支持端到端的電子專利授權流程、對現有技術數據庫進一步投資、並關注亞洲相關文獻與標準。 效率化提供高品質流程與服務:確保EPO的專利審查或其他作業流程及服務維持高標準,例如建立辦公室品質管理系統(QMS)和「早期確定」計畫(Early Certainty),加速專利核准程序。 建立具有全球影響力的歐洲專利制度和網路:加強歐盟成員國與歐盟以外國家專利局之合作,並定期檢視歐洲專利局對其他國家的財務與營運支援,在加強國際參與度與成本效益之間達到平衡。 確保長期發展與永續:歐洲專利局擬建立觀察站(Observatory)作為一提供利害關係人進行討論和分析的平台。該平台將為減少碳排放、降低能源消耗、降低紙張消耗以及減少使用塑膠等訂定明確長期目標。
綠色商標之挑戰—歐盟智慧財產權局發布綠色歐盟商標報告2023年7月歐洲創新理事會和中小企業執行機構(European Innovation Council and SMEs Executive Agency , EISMEA)撰文重申綠色商標的重要性與挑戰。隨著環境議題於國際上的重要性日益增加,綠色商標(Green trademarks)成為一個新興議題。許多敏銳的品牌於意識到多數消費者在消費選擇上更注重環保要素時,即開始開發環保相關商品或服務,並透過「綠色」相關之文字、圖像(Images)或標語(Slogans)等進行「綠色商標」布局,向消費者傳達品牌在環保、永續的投入,例如:商品為有機、對地球有益的,或可促進回收利用的等資訊。根據歐盟智慧財產權局(EUIPO)於2023年2月發布最新版之綠色歐盟商標報告(Green EU trade marks–2022 update)的統計資料顯示,綠色商標占總體商標申請的比例穩定上升中,從1996年的4%提升到2021年的12%,可以看出品牌對於綠色商標愈來愈重視。 該報告將綠色產品的商標分別九大類別。其中,能源生產和節能,合計占綠色商標申請的48%以上,污染控制占18%,交通占11%。品牌企業應確保於正確商品或服務類別進行綠色商標布局。除商品或服務註冊類別外,企業於商標註冊前之綠色品牌命名階段,應避免品牌名稱不具商標法要求的識別性,導致被智慧財產局駁回或撤銷商標註冊之風險,例如:以誤導性或純粹描述性(misleading or purely descriptive)的方式使用「生態(Eco)」或「綠色(Green)」等用語(terms)。建議綠色品牌命名應確保避免單純放入該些描述環保特性的用語,而必須考量商標法要求的識別性,能夠使相關消費者能識別綠色商品或服務來源,並得與他人的商品或服務相區別。 綜上所述,隨著近年企業推出綠色品牌、商品或服務,採用環保相關文字或標語作為綠色品牌名稱的情況逐漸增加,這也為商標申請人帶來挑戰。環保意識提升的消費者,對於這些環保相關用語的理解變得更加成熟,品牌商標更容易被認定為單純描述性的用詞(可能符合中華民國商標法第29條第一項不得註冊事由),商標申請人對於品牌商標獨特性的證明上將更加困難。因此,建議品牌擁有者應在商標註冊前之品牌命名階段,更發揮創意、注重商標法「具識別性」之註冊要件,避免品牌命名僅單純向消費者描述環保特色資訊,導致無法取得註冊商標,難以彰顯綠色品牌特色之後果。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
英國資訊專員辦公室強調歐盟資訊保護改革成本充滿不確定性英國資訊專員辦公室進行獨立調查時發現, 1、40%的企業沒有充分認識提出的主要條文; 2、87%的企業無法估計公司中業務為因應改革可能支出的成本; 3、82%的受訪者是無法量化其當前資訊保護的開支; 4、在少數的大型組織觀測調查中發現,估計資訊保護的平均花費時常會受到扭曲; 5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時,絕大多數都已經聘請資訊保護專人; 6、重點業別包括服務業、金融保險業以及公共管理等,需要針對資訊管理有所計畫。 而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出,資訊專員Christopher Graham表示「必須說,有少數人不同意為面臨21世紀的挑戰,而需要修訂歐洲資訊保護法。但真正進步之實現在於,今日或將來的法律面,針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」 「已經談論過很多關於『什麼是最好的商業』,但這必須基於合法證據。此次的改革的結果會是非常重要的,我們希望敦促歐盟委員會可以考慮並將重點放在制定法律,為消費者提供真正的保障。」 「同樣的,企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革,在此過程中仍然可以受到影響」