美国HIPAA之隐私规则与资安规则-云林科技大学.PPTVIP

必要（required）及建議（addressable） 必要的執行細則，被涵蓋機構就一定要執行這些政策（policies）和（procedures）。資安規則中一共有13項必要的執行細節。 建議的執行細節，則被涵蓋機構則必須評估，該規定對本身機構的環境來說是否為合理且適當的保障。如果被涵蓋機構在評估後決定不執行該建議執行細節，其必須說明理由，且在合理範圍內，採行其他相當的保障措施 A 肆、HIPAA之執法一、違反本法之處罰 健康人類服務部下，由人權辦公室（Office for Civil Rights）負責執行隱私規則與資安規則，並可對相關機構進行調查。 2009年HITECH加重處罰 行政罰鍰（單一違反100至1萬美金不等） 刑事徒刑與罰金（一年至十年不等） 二、聯邦與州法之衝突 由於美國是聯邦制國家，其下有50個州，而HIPAA下之隱私規則只是聯邦行政命令，而各州也有各州的健康資訊保護法規。在HIPAA下，各州的健康資訊隱私法規，原則上，比聯邦的HIPAA保護更多時，則優先適用各州法規。因此，該規則只能說是一「最低」規範。例如，各州可能對於基因、心理健康或HIV /AIDS 資訊，提供更多的保護 三、2009年HITECH修正 （一）增加執法力道 （二）違反規定之通知（Breach notification） （三）對商業伙伴加重要求 （四）增加行為義務 （二）違反規定之通知 若發生或相信出現違反（breach）本法而將「不安全的」（unsecured）個人受保護健康資訊揭露時，被涵蓋機構應通知該個人，而商業伙伴也應通知被涵蓋機構。所謂的不安全之資訊，該法定義，乃指沒有採用健康人類服務部部長所公布之科技或方法加密之資訊 （三）對商業伙伴加重要求 在隱私規則部分，過去被涵蓋機構也只能透過商業伙伴契約，要求商業伙伴在契約中履行隱私規則。但若違反契約中的隱私規則，其結果只是違約並且被終止契約。而HITECH 也新增條文，將原本商業伙伴契約中列入的隱私規則義務，擴大直接適用於被涵蓋機構的商業伙伴。若商業伙伴違反這些契約中之義務，一樣會直接面對行政罰鍰與刑事責任 （四）增加行為義務 (1)對於那些獲得健康照顧之個人，乃全部以自己費用支付者，因而產生的資訊，該個人可以要求，不得為了支付或健康照顧運作之目的將該資訊向健康計畫透露。 (2) 當依據本法利用或揭露或他人請求提供資料時，被涵蓋機構和商業夥伴除了利用隱私規則中所謂的有限資料組外，還必須積極地認定何謂最小必要的範圍，在最小範圍內利用、揭露與提供。 四、實例：販售藥房處方簽 (1) 藥房在收取藥廠的對價後，直接寄信給病人的醫師，建議他們可開立別種藥物 (2) 藥房在收取對價後，藥房將去辨識後的處方簽資訊，直接寄給藥廠和資料分析公司。 （二）HIPAA的限制 1.私人無訴權 2.健康照顧運作 直接與病人醫師聯絡屬於健康照顧運作 3.去連結（De-Identified）資訊 提供給藥廠之資料，已經刪除個人姓名，只保留開藥醫生姓名 結論：美國模式特色 其並沒有規範個人資料的蒐集行為（collection），而只規範利用和揭露（use and disclosure）行為。 有一個詳細的資安規則 利用例外非常多 謝謝聆聽 楊智傑 yangchih@yuntech.edu.tw 美國醫療資訊保護法規之研究以HIPAA/HITECH之隱私規則與資安規則為中心? 雲林科技大學科技法律所 副教授楊智傑 壹、前言 美國並無一般性個人資料保護法 美國並不像歐洲那麼注重個資隱私 1996年HIPAA 國會通過的「一九九六年健康保險可攜性和責任法」（Health Insurance Portability and Accountability Act of 1996 (簡稱HIPAA)） 該法的主管機關則是「健康人類服務部」（U.S. Department of Health and Human Services ，簡稱HHS）。所謂的個人可辨識健康資訊，就是可以辨識出個人身分的健康資訊，也稱為「受保護的健康資訊」（protected health information）。 隱私規則和資安規則 必須在1999年8月21日以前通過資訊保護立法，結果未通過 「健康人類服務部」部長自行發布行政命令，「個人可辨識健康資訊隱私標準」(Standards for Privacy of Individually Identifiable Health Information)，簡稱隱私規則（Privacy Rule 保護電子受保護健康資訊之資安標準（Security Standards for the Protection of Electronic Protected Health In