資訊中心管理
行動健康產業怎能不在意 HIPAA 規範呢?
下一篇 - 落實微服務、資安檢測及應用效能監控 扎穩數位醫療根基

行動健康產業怎能不在意 HIPAA 規範呢?

撰文 | 叡揚資訊資安團隊
健康保險可攜性及責任法案(HIPAA)為保護特定健康資訊隱私及安全性之法規,為電子醫療轉移及供應商、健保計畫、雇主等建立了「國家標準」。

隨著行動健康照護(mobile health)產業 不斷發展,從醫療保健應用程式拓展到運動健身穿戴式設備,或從預約門診系統延伸到同儕支持社群,個人醫療保健資料的控制及隱私風險逐漸升高。新的應用程式及數位健康資源陸續推出,使得我們無法清楚地知道儲存於這些科技中的敏感資料是否涵蓋於《健康保險可攜性及責任法案》(HIPPA)範圍中,以及是否受其保護。

HIPAA 是什麼?

健康保險可攜性及責任法案(HIPAA)為保護特定健康資訊隱私及安全性之法規,於 1996 年施行。此法規為電子醫療轉移及供應商、健保計畫、雇主等建立了「國家標準」。

HIPAA 的進化

HIPAA 在 90 年代中期實施時,個人醫療保健產業與現今有很大的不同。當時甚至無法想像現今這些能存取個人健康資料的應用程式及設備。但隨著行動健康照護市場持續成長,經歷迅速變化、革新的同時,HIPAA 在 2013 年初開始因應科技變化,制定新的規範,增加個人在電子保健記錄方面的權利。此規範同時也要求美國衛生部門及公共服務部(HHS)以及業務夥伴(例如承包商和轉包商)保護蒐集的健康資訊。

行動保健市場現況

來到 2019 年,市面上流通著超過 325,000 個行動健康照護應用程式,及大量的行動健康照護互聯網(IoT)設備,對於如何妥善保護這些應用程式、設備追蹤與存取健康資料的挑戰,引起人們關注。隨著行動健康照護快速的成長, 同時也出現了一個有趣的統計數據,在 2015 年時,有三分之二的美國人比起定期健康檢查, 更喜歡使用 IoT 設備來監控醫療資訊。

如何保護個人醫療資料?

2016 年 6 月,美國衛生及公共服務部 (HHS) 發布了《不受 HIPAA 規範的蒐集健康資料隱私及安全審查》報告,檢驗了健康應用程式、設備資料蒐集與 HIPAA 規範間的差距。根據 2016 年的報告,傳統醫療保健產業主要以下列 3 種方式保 護病人的醫療保健資訊:

  • HIPAA-聯邦法律,建立國家隱私安全標準,透過《隱私、安全及侵害通知規則》加以保護。
  • 聯邦貿易委員會(FTC)-禁止不公平或欺騙的行為/作法之消費者保護禁令。
  • 對於特定醫療條件或情況的病人隱私會採取比 HIPAA 更有保護性的額外健康隱私法規, 如 HIV/AIDS、精神或生殖健康狀況,或是青少年的健康資訊。

除了與 HIPAA 規範實際交換的內容,如血液檢查、MRI 影像、病人醫生保密對談、特殊預約行程,及其他能夠識別病人身份的資料等,皆稱為「受保護健康資訊」(PHI)的敏感個人醫療保健資料。隨著行動健康照護應用程式及設備產業成長,越來越難確保敏感個人資料受 HIPAA 或其他機制保護。就穿戴式設備來說, HIPAA 如何應用於穿戴式健康科技上?許多製造穿戴式科技的組織已採取行動,確保其裝置符合 HIPAA。大部份健身程式或飲食管理程式的資訊都不包含 PHI,但是預約門診行程軟體及醫療提醒軟體都可能包含部份 PHI。隨著行動健康照護科技發展,健康資料保護的灰色地帶也隨之擴大。臨床狀況或是環境的同儕支持團體應用程式都可能包含界定為 PHI,或是在其界定邊緣的敏感健康資料。行動健康照護應用程式開發者應儘早在軟體開發階段使其符合 HIPAA,尤其是未來需與其他符合 HIPAA 的程式交流或互動之軟體。凡會涉及 PHI 處理的程式,皆須符合 HIPAA。

未來人工智慧(AI)

應用程式的健康資料美國衛生及公共服務部(HHS)網站近期一份名為《AI 應用程式的健康資料共享及利用》的圓桌會議報告,詳述了未來 AI 將會如何應用於醫療保健、診斷、治療以及病患照護。大多數人都知道 AI 應用程式需要大量資料以量測有意義的數值,而這些資料需直接從病患身上得到。

如今患者皆透過感應器或穿戴式裝置、社群媒體及行動裝置,產生大量個人的健康相關資料。這些資料對 AI 應用程式之重要性與日俱增。大部分「服務條款」下蒐集的資料,都能供非 HIPAA 規範的組織使用。美國衛生及公共服務部為了公 民的權利,提供許多相關資源,讓可能蒐集敏感健康資料的軟體及社群媒體開發公司使用。

時至今日,為確保健康資料隱私,應使用靜態應用系統安全測試(SAST)、互動應用 系統安全測試(IAST)及軟體開發組件分析 (SCA)解決方案全面測試這些應用程式的弱點。這些科技能夠幫助開發者及應用程式安全 (AppSec)團隊偵測並補救軟體應用程式在軟體開發生命周期中,所遇到的安全、合規及品質等相關問題。

Checkmarx 的作用

隨著不同組織轉而使用現代軟體開發方式,如 DevOps 在軟體開發環境中使用 Checkmarx 軟體安全平台(包含 CxSAST、CxIAST、CxOSA, 及 Codebashing),可視為確保其行動健康照護應用程式符合 HIPAA 規範的第一步。此外, Checkmarx 平台可協助應用程式排除潛在嚴重漏洞或敏感資料濫用的安全及品質問題。

 Checkmarx 以軟體安全為其基礎架構:整合 DevOps、完全嵌入組織的持續整合和持續交付 (CI/CD) 管道、可針對未編譯程式碼進行測試。全方位平台 Checkmarx 不僅滿足開發維運(DevOps)速度及彈性需求,更為現代安全發展樹立了新標準。