智慧應用 影音
AWS
event

醫療資訊外洩及時通報 確保遵循法規並降低衝擊

Mid-Michigan Physicians Imaging Center大約超過10.6萬名病患相關資料可能遭受外洩。法新社

Mid-Michigan Physicians Imaging Center轄下的Radiology Center,於2017年3月發現電腦系統遭到入侵。不過為了確保切實完成全面性調查,負責管理的McLaren Medical Group延遲了5個月才通報入侵事件,官員表示基於相同理由而延遲相關訊息公布。

據HealthcareITNews報導,經過全面調查之後,McLaren Medical Group僅能確認7名病患的病歷曾被讀取,不過並無法排除其他包括過去與目前病患的病歷亦被讀取外洩的可能性。Mid-Michigan Physicians Imaging Center於2017年8月底通知了大約超過10.6萬名就醫相關資料可能遭受外洩的病患。

McLaren Medical Group重建了被入侵的電腦系統並增加額外的安全防護,此外也提供所有受影響的病患身分竊取(Identity Theft)監測及保護措施。被入侵的電腦系統內,病患的個人隱私資料包括姓名、社會安全號碼、生日、電話號碼、地址、病歷號碼及診斷紀錄;此外還有Radiology Center內部掃描的包括醫師授權(Physician authorization)、醫囑、排班資訊等其他文件。

未經授權的人員讀取儲存病患資訊的資料庫、駭客竊取電腦伺服器中的病患資訊,以及儲存了未加密病患資訊的設備遺失、失竊或遭勒索軟體(Ransomware)攻擊等事件層出不窮。資料外洩必須快速反應、謹慎調查,並採取有效措施,才能彌補漏洞、保護病患隱私、降低影響。

此外,及時通報對美國醫療保險資訊攜帶與責任法案(HIPAA)的法規遵循(Compliance)更是至為重要。隸屬HIPAA被涵蓋的機構及業務夥伴必須熟捻HIPAA規定中完成調查及通報義務的時間表,違反相關法令將面臨執法單位糾正舉發、可觀的罰款及負面宣傳。

HIPAA規定包括健康照護提供者、健康計畫及健康照護資訊交換中心等被涵蓋的機構,在發現不安全的受保護健康資訊(PHI)外洩事件後,必須及時主動通報受影響的個人,即使有合理原因導致延遲,無論如何也必須在發現事件後60天內完成通報。

若是事件波及人數達500人或以上,在通報受影響個人的同時,也必須通報美國衛生及人力服務部(HHS)。而若是事件波及某一州的人數超過500人,則還必須在相同時限內通報當地媒體。至於波及人數低於500人的事件,被涵蓋的機構必須在該日曆年結束後60天內通報HHS。

業務夥伴也有通報責任,必須在發現不安全的PHI外洩事件後60天內通報被涵蓋的機構,讓被涵蓋的機構能在時限內提供相關個人或機構必須的通知。

2017年1月HHS的民權辦公室(OCR)宣布,首樁因未能及時通報不安全的PHI外洩事件而成立的和解案。通常違反HIPAA規定多是涉及電子健康紀錄(EHR),不過此案卻是由於遺失書面紀錄。

位於芝加哥(Chicago)的大型健康照護系統公司Presence Health Network由於未能及時通報被入侵的事件,涉及違反HIPPA的外洩通知規定(Breach Notification Rule),同意支付47.5萬美元罰鍰並實施安全措施修正計畫。

而目前HIPAA對單一機構最高的罰款為550萬美元,Advocate Health Care Network由於存有高達400萬名病患個人資訊的4部電腦遭竊而受罰。OCR每年提出超過2萬件HIPAA相關的控訴,因此未來罰款金額可能再創新高。

對保存個人健康紀錄的廠商及其第三方服務供應商,美國聯邦貿易委員會(FTC)也有類似的資訊外洩通報規定。2006年俄亥俄州便基於一項安全外洩通知法令,要求必須通知電子資訊安全遭受外洩事件波及的個人。

  •     按讚加入DIGITIMES智慧醫療粉絲團
更多關鍵字報導: 智慧醫療 醫療產業 資安