Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。

依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:

1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;

2.實施並持續更新消費者資料近用限制相關政策和程序;

3.遠端近用資源和資料應使用多重要素驗證;

4.定期更新近用資源和資料的憑證;

5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;

6.對所有儲存或傳輸的消費者資料進行加密;

7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

相關連結
你可能會想參加
※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9164&no=55&tp=1 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
日本內閣府公布生成式AI初步意見彙整文件,提出風險因應、應用及開發兩大關注重點

日本內閣府於2023年5月26日召開第2次「AI戰略會議」(AI戦略会議),並公布「AI相關論點之初步整理」(AIに関する暫定的な論点整理)。鑒於AI對於改善國人生活品質、提高生產力無疑有相當助益,考量生成式AI甫問世,社會大眾對其潛在風險尚心存疑慮,內閣府遂以生成式AI為核心,延續先前已公布之「AI戰略2022」(AI 戦略 2022)、「以人為中心的AI社會原則」(人間中心の AI 社会原則),以「G7廣島峰會」(G7広島サミット)所提出之願景—「符合共同民主價值的值得信賴AI」為目標,提出「風險因應」及「應用與開發」兩大關注重點,供政府有關部門參考之同時,並期待可激起各界對於生成式AI相關議題之關注與討論: 一、風險因應:AI開發者、服務提供者與使用者應自行評估風險並確實遵守法規及相關指引;政府則應針對風險應對框架進行檢討,對於已知的風險,應先以現有的法律制度、指引與機制進行處理,假如現有法制等無法完全因應這些風險,則應參考各國作法盡速對現行制度進行修正。 AI的透明度與可信賴度於風險因應至關重要。若能掌握AI學習使用哪些資料、所學習資料之來源、AI如何產生結果等,就能針對使用目的選擇適合的AI,也較易因應發生之問題,並避免AI產生錯誤結果或在對話中洩漏機密資訊等。對此,本文件呼籲AI開發者及服務提供者依據現行法令和指引主動揭露資訊,政府則應對透明度和可信賴度相關要求進行檢討,並應依普及程度及各國動向對既有的指引進行必要之修正。 二、應用與開發:本文件建議政府部門積極使用生成式AI於業務工作上,找出提升行政效率同時不會洩漏機密之方法,並向民眾宣導AI應用之益處與正確的使用方式,以培養民眾AI相關技能與素養,藉以更進一步建構AI應用與開發之框架,如人才培育、產業環境準備、相關軟硬體開發等。

美國白宮發布「美國就業計畫」說明文件,加強投資基礎建設與科技研發

  美國白宮於2021年3月31日發布「美國就業計畫」說明文件(FACT SHEET: The American Jobs Plan),針對美國當前所面臨基礎建設老舊、失業率攀升、氣候變遷與來自中國的技術競爭等問題,預計在未來八年內每年投資約GDP的1%,共投入約2兆美元(約合新台幣56兆元)於修復與升級國家基礎建設、振興製造業、投資基礎科學研究、支持供應鏈、推動能源轉型、幼兒教育及長照醫療等項目上。   本說明文件指出,雖然美國為世界上最富裕的國家,但許多基礎建設都逐漸變得老舊或不合時宜,部份人民仍無法享有高速網路與價格可負擔的房屋,而在疫情的衝擊下不僅導致工作機會喪失,更威脅到國家經濟安全。除此之外,美國在科技研發、製造與人才培育上開始落後於最大的競爭對手,顯示政府有必要加快在基礎建設與科技研發的投資,以重建美國的國家競爭力並創造更多的就業機會。   針對投資基礎建設部分,包含交通基礎建設如修復高速公路、橋樑,並升級港口、機場及運輸系統,並改善飲水、電力與網路布建,提供全體人民可負擔、可靠的高速寬頻服務;除了提高基礎建設在面對氣候變遷危機時的韌性,也提供美國人民更安全、可靠、便利的生活條件。在更新基礎建設的同時,將採用符合永續性及創新性的建築材料,並優先使用在美國製造與販售的零組件,以支持國內產業與創造就業機會。   而在投資科技研發部分,相對於中國大陸正大力投資於研發,其研發支出為世界第二,美國在投資科技研發占GDP比率卻持續下降,為了支持研發團隊克服高度創新(high-innovation)技術的障礙,有必要提高對於國內研究人員、實驗室及大學院校的投資。因此白宮呼籲國會支持國家科學基金會(NSF)投資500億美元設立技術局(technology directorate),用於整合國家研究資源,投入半導體及高級通訊技術、高級能源技術及生物技術的研發,並預計投資400億美元於全國實驗室研究設施與網路的升級。   除此之外,白宮規劃投資350億美元於研發克服氣候變遷危機的技術解決方案,包括開發減少排放和建立氣候適應力的新方法,並呼籲國會投資100億美元於傳統黑人大學(HBCUs)、弱勢族群教育機構(MSIs)的科技研發以避免種族與性別落差,投資200億美元於區域創新中心及社區再生基金,向國家標準技術協會(NIST)投資140億美元推動產官學合作研發,以及規劃310億美元用於中小企業信貸、創投及研發資金,特別是地區型的小型孵化器及創新聚落,以支持有色人種及弱勢族群的新創事業成長。

德國資料倫理委員會針對未來數位化政策之資料運用發布建議報告

  德國資料倫理委員會(Datenethikkommission, DEK)於2019年10月針對未來數位化政策中的重點議題發布最終建議報告;包括演算法產生預測與決策的過程、人工智慧和資料運用等。德國資料倫理委員會是聯邦政府於2018年7月設置,由多位學者專家組成。委員會被設定的任務係在一年之內,制定一套資料倫理標準和指導方針,作為保護個人、維持社會共存(social coexistence)與捍衛資訊時代繁榮的建議。   最終建議報告內提出了幾項資料運用的指導原則,包含: 以人為本、以價值為導向的技術設計 在數位世界中加強數位技能和批判性思考 強化對個人人身自由、自決權和完整性的保護 促進負責與善意的資料使用 實施依風險調整的監管措施,並有效控制演算法系統 維護並促進民主與社會凝聚力 使數位化戰略與永續發展目標保持一致 加強德國和歐洲的數位主權

歐洲藥物管理局(European Medicines Agency,簡稱EMA)發佈針對準備與審查產品特性摘要(summaries of product characteristics,簡稱SmPCs)的指導方針

  EMA近日針對醫藥公司,在其欲申請人體藥物上市核准的申請文件中,針對如何準備與審查產品特性摘要之文件,提供醫藥公司相關的指導方針。   產品特性摘要不僅是醫藥公司之新藥物在向歐盟申請上市核准時所必須提供的重要文件,也是健康照護專業人員在獲知如何有效並安全使用藥物時的基本資訊來源。產品特性摘要在藥品生命週期存續時必須定時保持更新,以確保無藥物效用性與安全性疑慮的新問題發生;同時,其也是在藥物包裝上所必須含有的基本資訊,以確保藥物服用者能對其所服用的藥物有更多的了解和進行各類風險評估。   產品特性摘要文件,主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時,必須遵循歐盟2001/83/EC號指令第11條之規定,附加產品特性摘要於申請文件,以供主管機關作為申請核駁之依據。在EMA針對產品特性摘要所提供的指導方針中,主要係以簡報與影片的方式,來教導醫藥公司如何在產品特性摘要的各個項目中,提供有關申請藥物更為完整與細部的背景資訊。其中,有關於解釋如何完成治療指示(therapeutic indication)與藥物藥效成分(pharmacodynamic properties of a medicine)之項目,於EMA的指導方針中,亦以明確的影片指導來協助醫藥公司提供高品質的產品特性摘要內容。   有鑑於治療人體疾病之藥物,對於人類生理與心理層面攸關重大,如何要求醫藥公司在提出人體藥物上市許可之申請時,能提供藥物完整的背景資訊,以確保從事健康照護之人員以及藥物服用者,完全了解藥物使用方式、效用與風險,則是主管機關無從推卸的責任。觀察EMA針對人體藥物之產品特性摘要製作出完整的指導方針,或許我國衛生機關也可效仿該種方式,來提供國內醫藥公司在提出藥物上市申請時之參考,以確保各項資訊透明並保護藥物使用者在「知」方面的權益。

TOP