什麼是受保護的健康資訊 (PHI)?
受保護的健康資訊 (PHI) 是為了保護病患的健康照護隱私而必須保護的任何資訊。法規要求承保實體 (提供醫療照護的人或組織) 保護與病患過去、現在或未來身心健康相關的資訊。患者的健康計畫必須確保該患者的 PHI 得到可靠、一致的保護。
根據健康保險可攜性與會計法案 (Health Insurance Portability and Accounting Act, HIPAA) 及其隱私權規則的定義,PHI 是「透過電子媒體傳輸、以電子媒體維護或以任何其他媒體形式傳輸的個人識別資訊」。
過去 20 年來,PHI 佈建所涵蓋的資訊形式持續擴大。隨著擷取、儲存和共用 PHI 的技術進步,以及病人機密性的合規性環境演進,PHI 的大規模和範圍將不斷地擴大。
受保護的健康資訊 (PHI) 為何重要?
受保護的健康資訊非常重要,因為醫療照護提供者必須保護病患醫療照護資料的機密性。由於大部分的 PHI 都是高度個人化的資訊,因此醫療服務提供者會不遺餘力地確保資訊在任何時候都是安全的。
醫療照護從業人員、健康維護組織 (HMO) 及其病患之間有著深厚的隱含信任,他們有權假定醫療照護組織會妥善保護他們的 PHI。
這種保護必須在患者的整個就醫過程中以及在提供照護的任何地點進行,例如醫生辦公室、醫院、遠端診所或遠程醫療就診。
HIPAA 和 PHI
有許多合規性的監管指導方針,會在 PHI 外洩時進行處罰。涵蓋 PHI 的最大監管架構是 HIPAA。根據美國衛生與人類服務部 (HHS),HIPAA 隱私權規則「為承保實體所持有的個人健康資訊提供聯邦保護,並給予病患一系列有關該資訊的權利」。
隱私權規則」也確保權利與特權的平衡,以確保 PHI 能適當地揭露以提供病患照護及相關需求。
受保護健康資訊的範例
1.個人識別資訊 (PII)
個人身分識別資訊 (PII) 涵蓋任何可將病患與個人身分識別資料聯繫起來的資料,例如病患的人口統計資料、駕駛執照和健康保險資料。
2.個人健康資訊 (PHI)
PHI 是 PII 的子集,指特別與 HIPAA 實體共用的資訊。這可能包括病患與醫療服務提供者之間的通信、帳單記錄、診斷設備的數位掃描,以及測試結果。
PHI 識別碼範例
HHS 列出 18 個特定的 PHI 識別碼:
- 病人姓名
- 地理要素(地址、城市、郵遞區號)
- 與個人健康或身分有關的日期(出生日期、入院日期、出院日期、死亡日期)
- 電話號碼
- 傳真號碼
- 電子郵件地址
- 社會安全號碼
- 醫療記錄號碼
- 健康保險受益人號碼
- 帳號
- 證書/執照號碼
- 車輛識別碼
- 裝置屬性或序號
- 數位識別碼,例如網站 URL
- IP 位址
- 生物辨識元件,包括手指、視網膜和聲音指紋
- 全臉攝影影像
- 其他識別號碼或代碼
什麼是 ePHI?
電子 PHI (ePHI) 僅指電子/數位格式的 PHI。這可能是一份 PDF 格式的醫療報告,或是病人病歷的線上資料庫。ePHI 在 HIPAA 安全規則中被明確列出。在該規則中,有一個小節是專門針對電子醫療照護資料的。
今天,以電子格式建立、儲存和分享的病患資訊比以往任何時候都多。醫療照護提供者必須密切注意在醫療照護生態系統中從頭到尾保護這些數位記錄的安全。
HIPAA 安全規則說明了保護所有 ePHI 的機密性、完整性和可用性(稱為 CIA 三要素)的需求。這包括識別和防護數位醫療照護資訊的安全和保安所受到的預期威脅。它也允許承保實體建立系統、程序和政策,以確保合乎安全規則所規定的 HIPAA 指導方針。
保護健康資訊的安全
HIPAA 安全規則規定承保實體必須採取特定步驟來證明合規性,因此在保護 PHI 和 ePHI 時,可確保病患與醫療服務提供者之間的信任。這些步驟可分為三類:
- 行政保障
- 實體保障
- 技術保障
1.行政保障
管理性保障措施的目的在於找出並判斷 PHI 的潛在風險,並採取措施降低安全風險和弱點。這些規定也要求安全官員制定並實作承保實體的安全規則和程序。
醫療服務提供者也必須定期評估其安全政策是否符合 HIPAA 安全規則的需求。
2.實體安全防護
實體保障措施涵蓋的問題包括限制未經授權的實體存取設施,同時允許授權存取。承保實體也必須部署政策和程序,涵蓋正確處理包含 PII 和 PHI 的電子儲存資料和電子媒體。
3.技術保障
技術保障措施的設計是為了確保只有經過適當授權的人才能存取數位記錄和其他電子資訊。這不僅涵蓋擷取、儲存和管理健康照護與醫療記錄所需的硬體、軟體即服務,也涵蓋存取所需的安全憑證和認證程序。
這些技術也包括加密及其他技術,以防止透過數位網路不當存取 PHI 和 ePHI。
什麼是 PHI 外洩?
近年來,醫療照護產業針對病患個人資訊的網路攻擊激增。惡意行為者使用勒索軟體和勒索等手段向醫療服務提供者索取高額報酬,有些人甚至將病患記錄賣給出價最高的人。
根據 Unit 42 的《 2022 年事件回應報告》,醫療照護組織平均每筆贖金支付 141 萬美元。而根據 IBM 的《 2022 年資料外洩成本報告 》,資料外洩的 成本 可高達 1,010 萬美元。
何謂 PHI 外洩?
HHS 將 PHI 外洩廣泛定義為「隱私權規則下不允許的使用或揭露,損害受保護健康資訊的安全性或隱私權」。在現實世界中,這可能包括會導致 PHI 暴露的各種行為。
例如,進行 Medicare 詐騙或其他保險詐騙的駭客通常會釋放各種旨在取得 PHI 的技術。勒索軟體、身分盜用、社交工程、憑證盜用、網路釣魚和惡意軟體都會被用來入侵未加密或保護不足的個人裝置。
根據 HIPAA,PHI 外洩有四個關鍵要素:
- 所涉及 PHI 的性質和範圍,包括識別碼的類型和重新識別的可能性。
- 使用受保護健康資訊或向其披露資訊的未授權人士。
- 是否實際取得或檢視過受保護的健康資訊。
- 受保護健康資訊的風險已降低的程度。
在大多數情況下,由於非故意的行為而非惡意的行為所導致的 PHI 外洩不會被視為違反 HIPAA。強烈建議承保實體向其律師和合規性團隊查詢,以確保 PHI 的揭露是否違反 HIPAA 或其他隱私權準則。
不斷演進的景觀:新興科技與 PHI 安全
醫療照護產業在許多方面,包括醫療照護的佈建方式、時間、地點和原因,都在經歷戲劇性的轉變。遠端照護的興起、智慧型醫療裝置 (醫療物聯網) 數量的增加,以及日益複雜且相互連結的 IT 環境等趨勢,共同造就了快速變化的環境。
為了確保 PHI 安全,醫療照護組織及其合作夥伴/業務夥伴需要經驗豐富的網路安全合作夥伴來設計、建置、信任,以及監控整個企業的網路安全作業。
在評估潛在的網路安全合作夥伴時,資訊安全長官和他們的同事應該需求幾項嚴重性的能力:
- Zero Trust(零信任)方面的專業知識,可透過消除隱含信任來防止漏洞。
- 精通從網路安全性到下一代 SOC 的全方位網路安全工具。
- 熟悉 雲端安全性 程序和框架,特別是混合雲端和多雲端環境。
- 存取最新、最全面的 威脅情報服務。
瞭解 Palo Alto Networks 如何成為全球醫院和醫療系統首選的網路安全領導者。請造訪 www.paloaltonetworks.com/healthcare。
受保護健康資訊 (PHI) 常見問答集
undefined
