美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
美國目前沒有聯邦的隱私法,由各州訂定州隱私法、產業隱私法,要求企業應揭露資訊以提升資訊透明度,然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法(My Health My Data Act)》的州隱私法,其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料,可用於識別消費者過去、現在或未來的物理或心理健康狀況」,例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」,如零售業者蒐集消費者近期採購的訂單內容(非健康資訊),並透過AI機器學習分析得出消費者可能懷孕的比例及預產期,藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下,導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密,建議企業可先採取: 1.使公司的智財部門與資料保護部門合作,確保公司人員對公司營業秘密標的及範圍的認知一致,並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前,先與消費者簽訂保密契約,並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施,建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
昇陽進入開放原始碼 Solaris 時代昇陽公司本月十四日把 500 多萬行 Solaris 核心 (kernel) 的原始碼張貼在 OpenSolaris 網站上。不過,一些原始碼元件,像是安裝程式與管理工具,因為仍在逐行檢視以免專利侵權問題,稍後才會推出。 Solaris 是使用率相當廣的一種 Unix 衍生版本,在一九九○年代末期網路泡沫時期大行其道,但後來隨開原碼作業系統 Linux 竄起而式微。同時,微軟的 Windows 作業系統,也蠶食著昇陽的市占率。為了讓 Solaris 成為開放原始碼軟體,昇陽積極拉攏軟體開發人員,軟體開發人數增多,可能引來更多的使用者、更多的合作夥伴,以及更多的軟體開發者。然而,要與氣勢正旺的 Linux 競爭,並非易事。 Solaris 開發工程僅傾昇陽一家公司之力,但 Linux 幕後卻有廣大的開發人員社群支持。 Quandt Analytics 分析師 Stacey Quandt 說,與外部程式設計師分享權力,是昇陽必須通過的考驗。對昇陽來說,真正的挑戰是,昇陽是否真能容納局外人貢獻的修補程式,而且不叫昇陽經驗老到的工程師加以改寫。 OpenSolaris 是昇陽自行研發的專屬計畫,但不表示一定會失敗。 IBM 即曾經以 Eclipse 程式設計工具為中心,建立起活力十足的開原碼社群,就是成功的例子。昇陽雖來不及按原訂計畫在二○○四年推出 OpenSolaris ,但已推動一些配套措施,包括在今年一月發布稱為 DTrace 的元件,提供詳細的效能分析;吸引一百五十位外部程式設計人員參與 OpenSolaris 測試計畫;並成立由五人組成的社群顧問委員會,其中兩席是昇陽的代表。
英國先進材料研發之促進輔助法制政策介紹 微軟,摩托羅拉兩度正面交鋒專利訴訟微軟與摩托羅拉移動(谷歌旗下公司)將展開第二次關於智慧型手機及其他技術的專利侵權訴訟之審判。 這場陪審訴訟將於周一在西雅圖舉辦,主要將解決“摩托羅拉是否違反以非合理的條款授權微軟在Xbox遊戲機中無線和視訊技術領域所使用的標準必要專利(standard essential patents)。 去年11月,兩科技公司進行第一次大對決,確認了微軟應支付給摩托羅拉使用其專利技術的費用。經過5個月的審議後,美國地方法院James Robart審判法官裁定給微軟優惠方案,其建議每年支付約略180萬美元的費用給摩托羅拉,雖超過微軟所估算的100萬美元,但仍遠低於摩托羅拉原提出的40億美元的要求。 微軟依據過去的文件資料表示,微軟過去已表示支付給摩托羅拉680萬美元的權利金,但摩托羅拉拒絕這筆權利金的費用。 面對即將到來的訴訟案,微軟將主張摩托羅拉原先所提出的需求屬不合理要求,已違背其費用主張的合理和不帶歧視性的條款(reasonable and non-discriminatory terms)協議。 合理和不帶歧視性的條款(reasonable and non-discriminatory terms),一般稱為“RAND“,其條款主要是為了防止擁有標準必要專利之公司,透過專利龔斷市場,使用不合理的競爭手法,造成其他競爭對手的傷害。