美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
英國電信管制機關Ofcom於2014年12月8日提出第二版通訊基礎建設報告(Infrastructure Report 2014)。依據英國2003年通訊法(Communications Act 2003)規定,Ofcom必須每三年向英國文化、媒體與體育大臣(Secretary of State for Culture, Media and Sport)提出英國電子通訊網路及服務檢討報告,此次報告是在2011年11月第一版通訊基礎建設報告之後,對於英國現有政策施行情況再進行檢討,重點在於檢視目前整體基礎設施建設情形,內容大致可區分為:1. 網路及服務的覆蓋率、成效以及範圍、2. 頻譜使用、3. 基礎設施共享、4. 安全性與彈性。 在未來整體的規劃上,報告指出以下三項是未來決策者可能會面臨的挑戰,在政策推行與改善時應該一併考量。 一、寬頻普及服務義務:在固網寬頻部分,2009年英國政府推行寬頻普及義務(Universal Service Commitment for Broadband),目前英國超過2Mbit/s的寬頻覆蓋率已達97%,超過10Mbit/s的寬頻覆蓋率則達到85%。在高速寬頻方面,目前已達75%覆蓋率,家戶可接取寬頻速度至少有30Mbit/s。英國政府希望能在2017年使95%可達接取24Mbit/s以上之寬頻。 在行動網路覆蓋率部分,目前英國政府投注一億五仟萬英鎊在新的基礎建設上,希望將行動網路覆蓋率普及於未有服務的家戶,並配合其他政策增加覆蓋率,例如以漫遊、靜態基礎設施共享或MVNO業者來完成。 二、新科技廣泛運用於市場:目前,手機營運商積極推展4G服務,希望終端用戶能達98%之覆蓋率。但在推行之際,尚需要政府的補助,以及法規政策的調整。 三、檢視未來基礎建設的發展:為促進不同科技產業的發展,對固網與行動寬頻速度不斷地進行改善仍為現階段重要的推行項目。因此,應定期依據市場的供需,持續進行政策上的調整。 此外,報告指出,將來在前述三項主要政策推行目標上,除了考量基礎建設應達成的網路速度以外,符合民眾需求的品質經驗等因素亦應一併在政策施行之時納入考量。Ofcom提出之報告重點在於能提供目前英國通訊基礎建設政策推行時之參考指標,此在後續我國的通訊基礎建設方面,亦能做為參酌,以因應物聯網或其他新興科技的迅速發展。
美國考慮修正著作權法第115條美國著作權局已針對著作權法第 115 條提出修正案,以因應數位科技對音樂市場造成之衝擊。美國著作權法第 115 條主要係規範非戲劇類音樂之重製 (reproduction) 與散布 (distribution) ,並同時規範此二權利之強制授權及費率核定事宜。在數位音樂時代來臨之前,第 115 條之設計允許唱片業就已錄製之歌曲,在特定費率下加以重新詮釋灌錄。不過,隨著線上音樂的流行,第 115 條有關強制授權制度之設計,已喪失原先期待之功能,而核定之費率反而成為授權雙方協商時價格之上限,對整體音樂市場之發展造成障礙。此外,由於美國境內有關公開演出權 (public performance) 及重製 / 散布權之授權分屬不同之權利人團體 ( 目前美國三大公開演出權利人團體包括 ASCAP, BMI 及 SESAC ;而有關重製 / 散布權之權利人團體主要是 HFA, The Harry Fox Agency) ,因此在數位化音樂傳輸過程中利用人必須面對不同之權利人團體,就同一傳輸行為洽談不同之授權契約,並對同一著作權人支付二次使用報酬。如此繁複的過程及額外的成本,當然使合法音樂服務業者無法與網路音樂侵權者所提供之無成本音樂抗衡。因此,在此次美國著作權局所提出的「 21 世紀音樂授權改革法」中將廢止現行第 115 條,其修正重點包括: 1. 當權利人團體 ( 新法案中稱之為 music rights organization, MRO) 合法授予處理非戲劇類音樂之公開演出權事宜時,該權利人團體亦同時被授予處理重製及散佈權授權相關事項之權利。 2. 權利人團體就數位傳輸之非戲劇類音樂之公開演出權之授權應同時包含能協助公開演出順利進行必要之重製或散佈之權。 3. 著作權人就單一著作不得授權二個以上權利人團體進行該著作之授權談判事宜。 4. 鼓勵權利人團體就其所授權之非戲劇類音樂著作列明清冊,以協助利用人確認洽商授權之對象。
英國先進材料研發之促進輔助法制政策介紹 全球首宗 GCP 中藥上市全球首宗通過西方臨床試驗的中藥新藥將在台上市,結合台灣、新加坡與大陸三地資金與技術發展出來的紅麴萃取藥物「壽美降脂一號」,本月十七日正式獲得國內衛生署中醫藥委員會許可通過,成為全球第一項符合西醫「優良臨床規範( GCP )」,獲准進入市場的複方植物用藥。 由於中藥複方治療的特性和西藥單一成分的結構有很大的不同,縱使美國過去曾投入相當多資源進行中草藥研發,但是至今並未有任何一項藥物完成三期臨床試驗,因此「壽美降脂一號」能通過衛生署的新藥審核,不僅對中藥界而言是一項破冰之舉,對我國新藥臨床也算是一大突破。「壽美降脂一號」是由新加坡華僑銀行子公司維用科技出資,由北京大學研發團隊從兩百多種紅麴中,篩選出特殊菌株後,授權台灣公司進行膠囊的開發。為了這項中藥新藥的核准許可,開發公司彥臣生技總計投入三年半時間,在中國醫藥大學附設醫院院長林正介主持下,完成第三期臨床試驗。中醫藥委員會及醫藥品查驗中心( CDE )為了慎重起見,又花了一年半時間審查,今年終獲得中醫藥委員會通過許可。 國內目前用來治療心血管疾病的降血脂化學藥物共有六種,一年市場規模三十五億元,其中最普遍的史塔汀( Statin )被發現有少數過敏副作用,紅麴萃取而成的「壽美降脂一號」,其目的就是為了突破化學藥物所產生的副作用。彥臣生技目前僅掌握「壽美降脂一號」的台灣銷售權,短期內可進一步獲得日、韓兩地市場銷售權,母公司維用科技已計劃利用台灣臨床試驗成果,進一步向美國 FDA 叩關。為了執行 GCP ,彥臣生技已自行開發一套中藥標準化的平台技術,該公司將和維用科技洽談技術授權,爭取進入美國市場機會。