美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
盧秉羲
副法律研究員 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
今(2010)年5月,美國克雷格文特爾研究所宣布,成功完成首個由電腦設計之人造基因組控制,並具有自我繁殖功能的合成細胞,研究人員將其取名為辛西亞(Synthia),並發表於科學雜誌,此舉意味生物科技的發展,已經從生命複製階段步入生命創造階段。此次合成細胞的成功,引發先進國家政府方面的對經濟利益、管理及社會法制影響等方面的重視。美國總統歐巴馬便敦促生物倫理委員會對此發展進行密切觀察,評估此研究將之影響、利益和風險。 英國對於合成生物學發展的規範議題也十分關心,該國2009年開啟有關合成生物學的公眾對話(public dialogue),並於今年6月完成並公布報告。獲得的結論如下: 一、肯定合成生物學所帶來的機會: 英國民眾普遍認為合成生物學的應用將會帶來許多重要的機會,可協助解決當前社會所面臨的重大挑戰,例如氣候變遷、能源安全與重大疾病等。 二、關心合成生物學發展的不確定性: 由於合成生物學的發展充滿著不確定性,故當長期的負面影響尚未可知時,有些民眾反而因發展過於快速而覺得到沒有確定感。 三、期待國際規範形成: 英國民眾認為希望能有國際性的合成生物學規範與管理措施,尤其應針對合成生命物質在未受到管制而釋出於環境之生物安全議題,猶應有國際性的管理規範。 四、衡量科研人員動機: 英國民眾擔心,研究者好奇心的驅使,會使合成生物學發展過於快速,故應衡量其研究所帶來的廣泛影響。 五、強調科研人員之責任 負責資助的研究委員會應有清楚角色,促使科學家在此新興科技領域研究中,培養思考科學家責任之能力。 此次對話結果將會納入英國對合成生物學研究補助的法規政策,成為決定補助方式、項目與範圍的重要參考依據。這樣的作法是考量到,希望使合成生物學在健全的管理與法規下持續發展,預先減低過往生物科技發展導致民眾疑慮而致延滯發展的可能性,也更能將政府科研資助有效地投入有利於國家整體發展的領域中。
智慧聯網時代巨量資料法制議題研析-以美國隱私權保護為核心 日本針對遠距醫療新增「線上診療費」等診療給付項目,提高給付內容與標準日本厚生勞動省於2月7日公布2018年度健康保險診療報酬改訂內容,本次改訂項目中,最受矚目者為增訂線上診療之報酬給付。此種活用網路或智慧手機等資通訊網路(ICT)設施所為之診療,在2月7日中央社會保險醫療協議會總會中審議通過,公布個別改訂項目及診療報酬點數。 所謂的「線上診療」係指使用智慧手機之影像電話機能等,使醫師與病患以網路為連結所進行之診療。新設之診療報酬規定,係以具備「使用線上系統等通信技術,得為同步(real time)溝通,為診療與醫學管理。換言之,使用資通訊機器,以影像通話,透過同步影像有溝通可能性係為必要要件。 此一改訂自本年4月1日起適用,醫師診療原則上以面對面診療為原則,在包含有效性、安全性之考量下,且符合一定要件前提而為線上診療時,以「線上診療費」、「線上醫學管理費」等給付項目為給付。 因應此一改訂,厚生勞動省於本年3月30日發布並下達「線上診療適切實施指針」(醫政發0330第46號),本指針係從醫師法第20條禁止無診察診療及個人資料保護法,與線上診療之關係為出發,就到目前為止厚生勞動省發出的通知或事務聯絡等之解釋為正式整理及明確化。項目有:1.關於提供線上診療之事項;2.提供線上診療應具備之體制事項;3.其他線上診療關連事項。各自訂出「最低限度遵守事項」、「建議及獎勵事項」等,最低限度遵守事項之遵守範圍係為了明確不違反醫師法第20條規定所必要。
歐洲食品管理局發佈「基因改造動物所衍生的食品及飼料與基因改造動物的健康與福利之安全評估」指導文件雖然歐盟未曾批准基因改造動物所衍生的食品與飼料之市場應用。然生物科技發展迅速,許多歐盟境外的國家已發展許多關於基因改造動物科技之應用。是故,歐盟基於此類基因改造動物所衍生的食品與飼料可能對歐洲整體食品安全及環境帶來影響評估,而由歐盟執委會(European Commission, EC)要求歐洲食品管理局(European Food Safety Authority, EFSA)在歐盟第1829/2003 號規章(Regulation EC No 1829/2003)之架構下,發展關於「基因改造動物所衍生的食品及飼料與相關動物的健康與福利,以及對環境影響之安全評估」的綜合性的指導文件(Guidance),預計發布兩份指導性文件,第一份即為此份指導文件,其係針對「基因改造動物所衍生的食品及飼料」以及「基因改造動物的衛生與福利方面」兩方面的風險評估,在歷經2011所進行的公眾諮詢(Public Consultation)後,EFSA於2012年1月26日正式公布。該份指導文件內容並未包含「基因改造動物衍生之食品與飼料」對於環境所產生的影響之評估,EFSA另行制定第二份指導文件做為評估之依循,目前初稿已制定完成,並進行公眾諮詢,而可能於近期發佈。 因畜牧而豢養的動物之健康狀態,向來作為衡量此類農畜食品與飼料的安全之重要指標,本指導文件即以此指標作為整體基本假設。故該指導性文件之發展策略即以傳統飼養的動物健康狀態及其所衍生的食品與飼料作為安全衡量的基底標準(Baseline);並同時發展合適於「基改動物」與「衍生的食品與飼料」,各自的不同比較尺度的評估方法。其評估重點如下: 1.分子特性之評估,係提供針對動物插入一個穩定基因特徵(Trait)的結構描述之資訊之評估; 2.毒性物質之評估,針對基改動物以及衍生之食品與飼料所可能導致生物上改變之影響; 3.新蛋白質的誘發性過敏評估,係針對所有基改動物所衍生的食品所可能導致過敏之評估; 4.營養性評估,係針對所有的基改動物所衍生的食品與飼料對於人類或傳統飼養動的營養評估。 5.針對基改動物衍生的食品與飼料上市後的監測調查(Post-Market Monitoring, PPM),辨識此類基改食品與飼料在上市後可能的潛在之影響 此指導文件另一重點,即對於基因改造動物的健康與福利之評估,這項評估指標之重要性在於: 1.基於動物倫理,即對於動物本身之健康與福利之衡量; 2.動物本身的健康與福利之情形,亦被視為動物衍生產品之安全之重要指標。 綜上,此份指導文件建構出關於申請此類「基因改造動衍生食品與飼料」上市前的安全評估所必須提供的特定資料之內容架構,並結合即將發布的第二份關於環境影響評估的指導文件,做為上市前的綜合安全評估之依循。