GSS資安電子報0206期【熱門便利的行動健康應用程式（mHealth）領域急需HIPAA規範】

      從行動健康應用程式到健身追蹤器，由醫師約診排程幫手到同業支持社群，行動健康（mobile health，mHealth）產業在持續拓展之際，使用者個人健康資料的控管和隱私也面臨與日俱增的威脅。市面上的應用程式與數位健康資源不斷推陳出新，但許多產品都無法保證儲存在這些技術中的敏感資料是否安全且受到健康保險流通與責任法案（HIPAA）的保護。

什麼是HIPAA？

      健康保險流通與責任法案（Health Insurance Portability and Accountability Act），或簡稱HIPAA，是於1996年頒布、為保護特定健康資訊隱私與安全而制定的法規。該法規為電子健康照護訊息傳遞確立了「美國國家標準」，也針對供應商、健康保險計畫與雇主建立國家供應商識別機制。

HIPAA的演進

      在HIPAA甫於1990年代頒布時，個人健康照護產業與今日市場截然不同。經過十多年的科技演變，能夠存取我們個人健康資料的應用程式與設備才普及至全球。隨著行動健康市場不斷成長且快速發展、，為因應新時代的科技變革，HIPAA於2013年初制定新的規範，擴大了使用者針對自身電子健康紀錄的個人權利。針對接收受保護健康資訊的美國衛生及公共服務部（HHS）業務夥伴，如承包單位和分包單位等，該規則同時也新增了相關規範。

行動健康應用程式（mHealth）市場現今的樣貌

      時間演進到2019年，此時市面上已經出現超過325,000個行動健康應用程式以及不計其數的行動健康物聯網（IoT）公開供民眾使用，而妥善保護這些應用程式與設備，能追蹤並存取的所有健康資料，也成為令人擔憂的挑戰。行動健康產業的迅速發展也帶來有趣的統計資料：在2015年，2/3 的美國民眾比起實體健康照護管理，更加偏好數位健康照護管理。

個人健康資料受到那些保護？

      2016年6月，美國衛生及公共服務部（HHS）公布其「調查未受HIPAA規範之實體收集健康資料方面隱私及資安之疏漏」（Examining Oversight of the Privacy & Security of Health Data Collected by Entities Not Regulated by HIPAA）報告，調查主軸為符合HIPAA規範並蒐集資料的健康應用程式與設備，和未合規者比較後的落差。

根據這份2016年的報告，業界保護病患健康照護資訊的傳統方法主要有三種：

1. 1. HIPAA：訂定全美適用之隱私與資安規範的聯邦法律，透過其隱私、資安與侵害通報規則進行保護。
   2. 聯邦貿易委員會（FTC）：消費者保護措施，禁止不公平或欺騙性質行為或手段。
   3. 較HIPAA更能保護病患隱私之其他健康隱私法則，但與特定臨床情況或狀態相關，如HIV/AIDS病情、心理或生殖健康情況，或青少年之健康資訊。

      敏感的個人健康照護資料即為受保護健康資訊（Protected Health Information ，PHI），除了任何與HIPAA合規實體交流之資料，也包括如血液檢測、MRIs、病患與其醫師之間的機密互動、特定約診排程，以及其他任何能識別病患身分的資料等。

      然而，眼見行動健康應用程式與裝置產業急速增長，我們卻越來越無法確定HIPAA或任何其他資訊保護法律，將會如何保護，或甚至是否真的有能力保護這些應用程式與裝置收集的敏感個人資料。以穿戴式裝置來說，HIPAA能如何規範穿戴式健康技術？許多生產穿戴式裝置技術的業者已經採取行動，確保產品符合HIPAA規範。

      大多數健身追蹤器或飲食管理應用程式收集的資訊通常不包含PHI，但是醫師的約診排程軟體則可能包含部分PHI，而用藥提醒應用程式也可能包含PHI。隨著行動健康技術的進步，健康資料保護的灰色地帶愈加模糊。讓醫師交流臨床情況或狀態的同業支助社群等應用程式，就可能涉及敏感健康資料，這些資料不是遊走在邊界，就是確實落於PHI的範疇內。

      行動健康應用程式的開發商應盡早設法遵循HIPAA規範，尤其在軟體研發領域，這些應用程式產品未來可能會與HIPAA合規的應用程式交流或互動。如果相關應用程式可能涉及PHI，則該應用程式也必須符合規範。

用於未來人工智慧（AI）應用程式的健康資料

      近期，美國衛生及公共服務部網站發表一部名為〈於AI應用程式分享與利用健康資料〉（Sharing and Utilizing Health Data for AI Applications）的圓桌會議報告。該報告點出在診斷、治療以及提供病患照護等方面，AI將會如何應用於未來的健康照護。人們應該都相當了解，AI應用程式需要存取大量的資料，才能提供任何可測量的數值，而這些資料將直接來自於病患。

      如今，病患自行產生的健康資料數量驚人。這些資料來自感應器與穿戴裝置，並透過社群媒體與行動應用程式流通，而此類資料對AI應用程式而言越來越不可或缺。許多資料都是在使用者同意「服務條款」的前提下收集的，並可能會被不符合HIPAA規範的機構染指。考慮到軟體開發與社群媒體公司可能會收集帶有敏感健康資訊的病患自行生成資料，HHS的民權辦公室（Office for Civil Rights）已為健康應用程式開發商建置了多項資源。

      無庸置疑的是，為了在當代保障健康資料的隱私，存取此類型資料的應用程式都應該通過靜態應用程序安全性測試（SAST，白箱）、互動式應用程式安全測試（IAST，灰箱）以及軟體組合分析（SCA）解決方案，以進行全面的軟體漏洞檢測。上述技術將協助開發商與應用程式安全團隊在整個軟體開發生命週期間，順利識別並修復軟體應用程式在資安、合規與品質方面的問題。

Checkmarx的優勢

      隨著全球企業機構往DevOps等現代軟體開發方法改進，將包含CxSAST、CxIAST、CxSCA以及 Codebashing功能的Checkmarx軟體資安平台應用於軟體開發環境，是保障旗下行動健康應用程式符合HIPAA規範的第一步。此外，Checkmarx平台亦能確保應用程式不會出現其他資安與品質問題，避免嚴重資料外洩或不當應用敏感資料等災難。

      Checkmarx奠定軟體資安的根本基礎：與DevOps整合且完美嵌入部門的整體CI/CD pipeline，包辦從未編譯的程式碼到執行期間錯誤的所有檢測。Checkmarx完整性平台堅持DevOps對速度與靈敏的要求，將資安導入現代軟體開發的每一步，重新定義開發商的專業水準。