个人健康医疗资讯之美国与欧盟法规管理方向.pdf

個人健康醫療資訊之美國與歐盟法規管理方向 葉錫誼1 前言 追求個人化醫療是醫學發展的終極目標。近數十年，隨著人類基因體的研究，已使 標靶藥物之精準醫學有長足的進步。而物聯網及人工智慧技術的發展，除了生理訊號及 基因表現等特徵外，包括過往病史、生活習慣等更廣泛的個人健康醫療資訊之儲存、收 集 、監測與分析研究，也逐漸成為新醫療照護技術發展的重要方向 。依 TrendForce 網 站發布之報告 ，2017 年參與德國 Dusseldorf MEDICA 全球醫療器材大展的廠商中， 所有能產出「臨床醫療數據 」的醫療器材，幾乎都已具有與雲端資料庫或遠端數據中心 連結溝通的能力，縱使暫時無法與雲端串連 ，也都設計了數據轉出的功能；除了常見生 理資訊記錄之外，亦包含各種專業醫療檢測、監控設備之間的聯動、醫療數位服務平台 等 。顯示數位應用的能力，已在臨床醫療領域中普及運用，醫療器材數位化、雲端化的 時代已正式來臨[1] 。 然而，近年來持續發生的各種資訊安全事件，也引起大眾對網路與資訊系統安全之 疑慮，例如 2017 年 5 月份爆發的「WannaCry 」惡意軟體勒索攻擊，曾造成全球 1 百 多個國家受害，政府單位 、企業、醫療、高校等各行各業都受到影響，甚至連英國的醫 療系統都一度面臨服務癱瘓的威脅，使部分常規手術被迫臨時取消[2,3] 。又如近期經媒 體報導曝光的不法數據公司 ，利用心理測驗應用程式 ，違法蒐集取得臉書社群平台逾 8700 萬筆的用戶個人資料，並藉以進行不法分析[4] ，亦突顯個人資料管理的重要 。面 對持續升高的資安威脅，本文將針對美國與歐盟近年著手進行之個人健康資訊管理，其 法規要求及發展方向予以介紹。 美國之個人健康資訊管理相關法規 1 財團法人醫藥品查驗中心醫療器材組 RegMed 2018 Vol. 92 6 一、法源依據與適用範圍 美國聯邦政府於 1996 年即已頒佈 「醫療保險可攜與責任法案(Health Insurance Portability and Accountability Act, HIPAA Act) 」，授 權 衛 生 及 公 共 服 務 部 (Department of Human and Health Services, HHS)制定個人健康醫療資訊相關規範， 其中 2002 年發布的隱私規則(Privacy rule)與資安規則(Security Rule) ，即成為美國對 個人健康資訊管理的主要架構[5,6] 。2009 年為進一步推動電子病歷應用而制定的「經濟 和臨床健康之健康資訊科技法（Health Information Technology for Economic and [7] Clinical Health Act, HITECH Act ）」 ，則強化資料外洩時相關機構的通報責任與違反 HIPAA Act 的處罰，並於 2013 年整合修訂為 HIPAA 最終規則(HIPAA final omnibus Rules)[8] 。 在 HIPAA/HITECH 的架構下，包含醫療照護的提供者(Health Care Provider) 、保 險機構等健康計畫(Health Plan)的管理與給付單位、健康資訊處理機構(Health Care Clearinghouses) 、以及向上述單位提供服務的業務夥伴(Business associates)等「受管 轄機構(covered entity) 」。只要涉及受保護健康資訊(Protected Health Information, PHI)都必須符合相關規範的要求 。其中，受保護健康資訊在 HIPAA 隱私規則(Privacy rule) 的定義下，涵蓋任何的個人可識別健康資訊(individually