參考文章:https://www.checkmarx.com/solutions/by-compliance/hipaa
撰文及整理:叡揚資訊資安團隊
隨著行動健康照護(mobile health)產業不斷發展,從醫療保健應用程式拓展到運動健身穿戴式設備,或從預約門診系統延伸到同儕支持社群,個人醫療保健資料的控制及隱私風險逐漸升高。新的應用程式及數位健康資源陸續推出,使得我們無法清楚地知道儲存於這些科技中的敏感資料是否涵蓋於《健康保險可攜性及責任法案》(HIPPA)範圍中,以及是否受其保護。
健康保險可攜性及責任法案(HIPAA)為保護特定健康資訊隱私及安全性之法規,於1996年施行。此法規為電子醫療轉移及供應商、健保計畫、雇主等建立了「國家標準」。
HIPAA在90年代中期施實時,個人醫療保健產業與現今有很大的不同。當時甚至無法想像現今這些能存取個人健康資料的應用程式及設備。但隨著行動健康照護市場持續成長,經歷迅速變化、革新的同時,HIPAA在2013年初開始因應科技變化,制定新的規範,增加個人在電子保健記錄方面的權利。此規範同時也要求美國衛生部門及公共服務部(HHS)以及業務夥伴(例如承包商和轉包商)保護蒐集的健康資訊。
來到2019年,市面上流通著超過325,000個行動健康照護應用程式,及大量的行動健康照護互聯網(IoT)設備,對於如何妥善保護這些應用程式、設備追蹤與存取健康資料的挑戰,引起人們關注。隨著行動健康照護快速的成長,同時也出現了一個有趣的統計數據,在2015年時,有三分之二的美國人比起定期健康檢查,更喜歡使用IOT設備來監控醫療資訊。
2016年6月,美國衛生及公共服務部(HHS)發布了《不受HIPAA規範的蒐集健康資料隱私及安全審查》報告,檢驗了健康應用程式、設備資料蒐集與HIPAA規範間的差距。
根據2016年的報告,傳統醫療保健產業主要以下列3種方式保護病人的醫療保健資訊:
除了與HIPAA規範實際交換的內容,如血液檢查、MRI影像、病人醫生保密對談、特殊預約行程,及其他能夠識別病人身份的資料等,皆稱為「受保護健康資訊」(PHI)的敏感個人醫療保健資料。隨著行動健康照護應用程式及設備產業成長,越來越難確保敏感個人資料受HIPAA或其他機制保護。就穿戴式設備來說,HIPAA如何應用於穿戴式健康科技上?許多製造穿戴式科技的組織已採取行動,確保其裝置符合HIPAA。大部份健身程式或飲食管理程式的資訊都不包含PHI,但是預約門診行程軟體及醫療提醒軟體都可能包含部份PHI。隨著行動健康照護科技發展,健康資料保護的灰色地帶也隨之擴大。臨床狀況或是環境的同儕支持團體應用程式都可能包含界定為PHI,或是在其界定邊緣的敏感健康資料。行動健康照護應用程式開發者應盡早在軟體開發階段使其符合HIPAA,尤其是未來需與其他符合HIPAA的程式交流或互動之軟體。凡會涉及PHI處理的程式,皆須符合HIPAA。
美國衛生及公共服務部(HHS)網站近期一份名為《AI應用程式的健康資料共享及利用》的圓桌會議報告,詳述了未來AI將會如何應用於醫療保健、診斷、治療以及病患照護。大多數人都知道AI應用程式需要大量資料以量測有意義的數值,而這些資料需直接從病患身上得到。
如今患者皆透過感應器或穿戴式裝置、社群媒體及行動裝置,產生大量個人的健康相關資料。這些資料對AI應用程式之重要性與日俱增。大部分「服務條款」下蒐集的資料,都能供非HIPAA規範的組織使用。美國衛生及公共服務部為了公民的權利,提供許多相關資源,讓可能蒐集敏感健康資料的軟體及社群媒體開發公司使用。
時至今日,為確保健康資料隱私,應使用靜態應用系統安全測試(SAST)、互動應用系統安全測試(IAST)及軟體開發組件分析(SCA)解決方案全面測試這些應用程式的弱點。這些科技能夠幫助開發者及應用程式安全(AppSec)團隊偵測並補救軟體應用程式在軟體開發生命周期中,所遇到的安全、合規及品質等相關問題。
隨著不同組織轉而使用現代軟體開發方式,如DevOps在軟體開發環境中使用Checkmarx軟體安全平台(包含CxSAST、CxIAST、CxOSA,及Codebashing),可視為確保其行動健康照護應用程式符合HIPAA規範的第一步。此外,Checkmarx平台可協助應用程式排除潛在嚴重漏洞或敏感資料濫用的安全及品質問題。
Checkmarx以軟體安全為其基礎架構:整合DevOps、完全嵌入組織的持續整合和持續交付 (CI/CD) 管道、可針對未編譯程式碼進行測試。全方位平台Checkmarx不僅滿足開發維運(DevOps)速度及彈性需求,更為現代安全發展樹立了新標準。
更多資訊請參考:
源碼安全檢測領導者-Checkmarx [2019 Gartner魔力象限評比領導者]