什麼是 HIPAA 合規?

Tball

健康保險可攜性與責任法案 (HIPAA) 制定於 1996 年,旨在保護敏感醫療資訊的隱私與安全。

合規在醫療領域是一項絕對必要的條件,或許比在任何其他產業都更加重要。蒐集並處理受保護健康資訊(PHI),包括個人與醫療資料,對提供病患最佳的醫療不可或缺。但是,萬一 PHI 不幸外洩,可能帶來嚴重的後果,不僅會導致商譽損失、財務損失、法律責任,而且這類外洩還曾經對病患造成傷害。

HIPPA 合規安全規則

HIPAA 安全規則 (HIPAA Security Rule) 是用來保護 HIPAA 隱私規則 (HIPAA Privacy Rule) 底下涵蓋的某些資訊。基本上,其重點在於企業機構需要做些什麼來保護受保護的電子醫療資訊 (e-PHI)。

四項安全規則

「安全規則」當中並未要求應該採取哪些安全措施,只要有效即可,不過,卻也提出了三項建置標準,也就是所謂的保障措施 (safeguards): 

  • 行政保障措施:企業必須執行風險分析來判斷企業需要採取哪些安全措施,這應該是一個持續的過程。 

  • 實體保障措施:這指的是儲存 e-PHI 的場所所應具備的實體安全措施。這些措施必須包括場所的進出與控管,以及工作站與裝置的安全。 

  • 技術保障措施:採用防火牆、加密、資料備份等措施來確保 e-PHI 的安全,而且這些保障措施必須包括存取控管、稽核控管、完整性控管,以及傳輸安全。

近期的醫療資料外洩事件

根據 2022 年 SonicWall 資安威脅報告 (Cyber Threat Report) 指出,醫療領域的惡意程式在 2021 年繼續大幅增加,成長了 121%。此外,在 IoT 惡意程式攻擊當中,成長幅度最大的是醫療領域,較去年同期成長 71%。 

想要了解惡意程式的影響有多大,有必要回顧近年幾起資料外洩事件;這些事件原本可能透過遵循 HIPAA 規則與保障措施而避免。

Rehoboth McKinley Christian Health Care Services (RMCHCS)

2021 年 5 月,有超過 205,000 名 RMCHCS 的病患接獲通知,該機構遭遇資料勒索企圖,導致醫院的電子健康紀錄(HER)系統停機。RMCHCS 是遭到了 Conti 勒索軟體駭客集團的攻擊,該集團在 2020 年對醫療產業肆虐了一整年。 

根據事後判定, Conti 集團在約兩週期間 (從 1 月 21 日至 2 月 5 日)從該機構系統中竊取資料,包括社會安全號碼、護照,以及病患的受保護健康資訊(PHI)。RMCHCS 表示他們當下便立即向執法機關報案,但卻在 4 月底才開始對外發出通知,這正是令人擔憂的原因。 

由於這是一起勒索軟體攻擊,因此該機構顯然沒有做好技術保障措施與定期風險評估。儘管 RMCHCS 確實有向病患通知這起資料外洩事件,但因為缺乏時效性而危及到個人安全與 e-PHI 的完整性。病患應該在時效內獲得通知,才能關閉或變更自己的病歷、更新線上入口網站或銀行資訊,或是申請新的護照。

OneTouchpoint

這家位於威斯康辛州哈特蘭 (Hartland) 的郵寄和印刷廠商在 2022 年 4 月 28 日遭到勒索病毒攻擊,至少有 34 個醫療機構、超過 260 萬人受此事件影響。 

據調查發現,OneTouchPoint 的伺服器在前一天便遭到了入侵,因而讓敏感資料陷入危險。OneTouchPoint 過了六週之後才揭露說,這些檔案內含客戶資料以及現任和前任員工的敏感資訊。其中包括客戶和員工的姓名、地址、投保人、醫療會員 ID,以及病患的診斷和用藥資訊。這導致許多 OneTouchPoint 的客戶機構自行負擔費用來為其會員提供信用監控與身分盜用防護服務。 

這起資料外洩事件至少導致了一起針對 OneTouchPoint 的集體訴訟

如何維持 HIPAA 合規

為了進一步協助資安領域落實 HIPAA 合規,美國衛生及公共服務部(HHS)民權辦公室(OCR)已將 HIPAA 與美國國家標準暨技術研究院(NIST)網路安全框架相互對應。由於 NIST 是業界最受尊崇的標準之一,所以若您已經合乎 NIST 的框架,那您就更容易符合 HIPAA 的規範。 

為了維持高標準與高意識,許多企業都提供了 HIPAA 合規訓練與合規認證。許多顧問機構 (包括 OCR) 都開設了訓練課程,提供不同的訓練模組來配合各式各樣必須遵守 HIPAA 規範的機構。

HIPPA 合規 – 最佳實務原則

以下最佳實務原則可協助您達成合規要求:

了解 HIPAA 規則

HIPAA 隱私規則規定了如何在醫療產業當中使用和揭露 PHI。這項規則在其概述中說明了病患有哪些權利,包括有權取得其醫療記錄並要求更正。 

HIPAA 安全規則說明了保護客戶 PHI 所需的技術、實體以及行政保障措施。 

HIPAA 資料外洩通知規則要求醫療機構在發生資料外洩時必須通知病患、媒體以及美國衛生福利部 (HHS)。

執行風險評估

這項風險評估應該找出您企業蒐集、處理及儲存的所有 PHI,此外也應找出您企業中可能讓 PHI 陷入危險的漏洞,包括:已知的內部或外部資安威脅、實體裝置的失竊或遺失,以及您企業遭到攻擊的可能性 (根據您的資安風險指標)。

實施政策和程序

根據您的風險評估結果,制定並實施政策和程序來解決發現到的每一項風險,包括:存取控管、資料備份復原、資安事故應變,以及員工資安意識訓練等等。並且定期檢討並更新這些政策和程序,以確保它們符合時宜。

訓練員工

確保您的員工隨時了解您企業最新的政策和程序,所有需要處理 PHI 的員工都必須知道如何保護 PHI,並且了解不合規的後果。為了確保員工隨時掌握最新的資安威脅,並且熟悉保護 PHI 的最佳實務原則,定期接受資安意識訓練是必要的。

監控與稽核

經常重新檢討您企業的資安措施、接受滲透測試,並且執行漏洞評估。如此一來,您與您的團隊便能隨時掌握 PHI 面臨的新興風險或威脅,並了解如何妥善處理資料外洩事件。定期稽核是維持合規並做好準備的關鍵。

Scott Sargeant

產品管理副總裁

筆

Scott Sargeant 是趨勢科技產品管理副總裁,也是一名經驗豐富的技術領導人,在開發網路資安與 IT 領域企業級解決方案方面擁有 25 年以上經驗。

資安合規

  • HIPAA 合規