美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
去年12月底,Sony在美國國際貿易委員會(ITC)對LG提起控訴,指控LG的進口銷售的手機侵害其專利,請求該委員會禁止LG銷售被控侵害之手機。據稱LG也不甘示弱,因而在今年2月初,也向美國國際貿易委員會對Sony提出控訴,指控Sony的PlayStation 3遊戲機侵害其四項專利,請求該委員會禁止該遊戲機進口到美國。 根據LG所提出的訴狀,LG指控Sony的PlayStation 3遊戲機及其組件構成了直接、幫助和引誘侵權,而受侵害的四項專利分別為美國專利號7,701,835、7,577,080、7,619,961、7,756,398,都是有關藍光光碟(Blu-ray Disc)的播放技術。其中’080和’091專利是和複製藍光光碟上資料的技術有關;’835專利是和複製多資料流(multiple data streams)的操控技術有關;’398專利則和複製藍光光碟上的字幕流及更新其色調資訊的技術有關。據此,LG請求美國國際貿委員針對PlayStation 3的藍光播放器及其組件發動立即調查(immediate investigation),並發出禁止其進入美國,停止其他行銷、服務等行為之命令。 據報導指出,LG除了在美國國際貿易委員會提出控訴外,也在加州聯邦法院提起類似的訴訟,以請求金錢損害賠償。此二大公司間的專利訴訟發展,仍有待後續觀察。
日本最高法院新判決裁定日立需支付前員工發明報酬一億六千萬餘日圓日本最高法院最近裁定,日立( Hitachi )必須支付一億六千三百萬日圓(約四千五百萬台幣)給取得三項光碟讀取技術發明專利的前工程師米澤成二( Seiji Yonezawa )。一九九六年退休的米澤,於一九七三到一九七七年間,將其開發出來的三項有關光碟讀取技術發明專利移轉給任職的日立公司,當時他僅獲日立支付二百三十萬日圓酬勞,米澤嫌酬勞太少而提起訴訟,要求日立支付二億八千萬日圓酬勞。 東京地方法院於二○○二年作成的裁定,認定日立因該專利在日本國內所獲利益約兩億五千萬日圓,依米澤的貢獻度百分之十四計算,命令日立支付約三千五百萬日圓。但在日立上訴至東京高等法院的第二審,高院於二○○四年裁定,加上日立在英美等六個外國取得專利所獲利益約共十一億八千萬日圓,扣除已支付金額,日立應再支付約一億六千三百萬日圓酬勞給米澤。米澤原本訴請日立支付發明報酬兩億八千萬日圓,此案在最高法院駁回日立提起的上訴後判決定讞。 根據日本特許法(專利法)規定,受雇人取得發明專利時,企業需支付相對報酬予發明人,不過對於報酬之合理性,受雇人及雇用人近年來迭有爭議並訴諸司法解決。雖然日本國會在 2004 年 5 月 28 日 通過專利法修正案,進一步使報酬之計算要件更加具體、明確化,日本專利局也隨後在 2004 年 11 月公布「新受雇人發明制度之程序個案研究」( The Case Studies of the Procedures under the New Employee Invention System ),以問答方式闡釋新修正之發明人報酬規定之意義與適用方法,並尋求一個較為合理的標準,提供受雇人與雇用人間訂定報酬金時之參考。 然而,境外專利權是否應該列入報酬金之計算,新法則未規定,故此問題仍然存在,對此下級法院的判決不一,日本最高法院最近做出確定在海外取得的專利亦得支付相對報酬之裁決,這項司法裁定,勢必會影響到擁有國外專利的眾多日本企業。
從思科(Cisco)策略看公司併購全球最大網路設備業者思科(Cisco)公司在去年1月同意以8.3億美元併購以攔截與過濾垃圾郵件著名的軟體供應商IronPort Systems,以強化思科在資訊安全相關軟體方面的實力。思科購入IronPort公司後,不僅可為其客戶提供包括垃圾郵件過濾軟體和其他資安防護軟體,而此一併購案也象徵思科公司除本業的網路設備(router)外,也跨入資安軟體的領域進而挑戰其他大型防毒軟體業者(如賽門鐵克Symantec)。 以併購取得其他公司的商標、專利或人力資源等,在競爭激烈的商場十分常見,本來不足為奇,但此案值得注意的是原本思科公司的併購策略(acquisition strategy)是指派專人,將被併購的公司迅速融入思科體系,除取得原有的資源外,也可以快速地進入市場,此種方式亦是目前大多數廠商所採行的方法。 但自2003年後思科公司開始思考採取不同的併購方式:保留被併購公司的商標與行銷團隊,除可避免併購之後所可能產生的文化衝擊、制度磨合等問題,透過新的方式思科公司仍然獲得極大的收益。近來常聽聞國內的廠商積極併購其他公司,除成本或智慧財產等,管理制度亦是考量的重點之一,或許思科公司的策略可以提供給國內廠商參考。
Google挑戰法國最高行政法院對被遺忘權之看法2016年3月法國個人資料保護主管機關「國家資訊自由委員會」(Commission Nationale de l'Informatique et des Libertés, CNIL)要求Google等搜尋引擎公司,刪除網路搜尋所出現之歐洲公民姓名。此舉參考2014年歐洲法院(European Court of Justice)對於Mario Costeja González一案(C 131/12)所作裁決,Google公司和Google西班牙公司須遵守西班牙資料保護局(Agencia Española de Protección de Datos, AEPD)要求,移除出現原告姓名之搜尋結果。Google表示不服,並上訴法國最高行政法院(Conseil d'État)。 於本案中Google提出兩點主張:第一,CNIL對於被遺忘權(right to be forgotten)適用範圍過大,聲稱所搜尋到之姓名等資訊,屬於事實或來自新聞報導和政府網站之合法公開網站資訊,認為CNIL將隔絕原本在法國可為其他人所知之合法資訊;第二,Google主張向來遵守各國個人資料保護政策,將遵照CNIL要求,但僅限刪除在法國網域內之歐洲公民姓名,無法及於全球網域,除非法國政策已為全歐盟或全球所適用,不然法國個人資料保護審查制度不能延伸至其他國家。 對於網路公民權利推廣不遺餘力之「電子前線基金會」(Electronic Frontier Foundation, EFF)認為CNIL對法國公民資料保護之特別要求,將對Google造成損害。