摘要:
生醫大廠因駭客入侵致客戶個資外洩,恐釀信任危機
2021 年愛爾蘭衛生健康署遭駭客入侵,致愛爾蘭醫療體系癱瘓泰半;2019 年加拿大醫療公司 LifeLabs 爆發資安危機,使大量病人個資被盜取;2021 年由美國五家醫院組成的醫療系統 Scripps Health 亦遭駭客攻擊,造成病人敏感資訊外洩。
近年來,醫療資訊電子化、生物資料庫研究已是時代走向,但隨醫療組織數據頻遭攻擊,對個人醫療資訊保障,人們仍存多少信任?能否經得起高標準的檢驗呢?
生醫數據時代,當個資不僅是姓名電話,隱私權該如何保護?
在精準醫療發展中,大數據分析已是常態,尤當可用資料越多且準確,對病人的掌握便越高,但同時資料開放也勢必弱化個人隱私保障強度,兩者形成雙向拉扯。以現今生醫趨勢來看,醫療數據分析對醫學進一步突破至關重要,適度開放個人資料為研究之用已是各界呼聲,對此,強化資安技術並訂定更嚴謹的法規已勢在必行,唯有完善此兩道防護網,方能降低爭議並促進醫學未來發展。
從法律面來看,美國《健康保險可攜與責任法》(HIPAA) 與歐盟《一般資料保護規則》(GDPR) 是醫療資訊保護管理的主要法規,在評估醫療科技解決方案時,都會優先檢視是否通過 HIPAA 與 GDPR的合規性驗證,以展現產品資訊管理強度。
HIPAA 對隱私規定主要是就可識別之特定個人資訊 (personally identifiable information, PII) 進行規範,如果該醫療資訊為 PII,原則上需取得資料主體的書面授權才能使用或揭露;GDPR 保護範圍則包括個人的身分資料、電子紀錄、生物特徵,明定如健康資料等特種個資原則上禁止被處理,但為追求公益、科學或歷史研究或統計目的而有必要處理可為例外,唯須確保資料最小化原則 (principle of data minimisation) 的落實,並以假名化保護個人資訊。
下圖是 GDPR 與 HIPPA 的規範要點,如欲合規,基本上需達成以下要素:
舉例來說,美國醫療機構 Sentara 因違反 HIPAA 第 164.400 條以下「違反通知規則」(Breach Notification Rule),在醫療個資外洩時未確實落實通知義務,因此遭美國衛生及公共服務部(Department of Health and Human Services / HHS)轄下的公民權利辦公室(Office for Civil Right / OCR)開罰 217 萬美元。而在 GDPR 的違反上,Google 的服務條款文字便因不夠透明完整且違反 GDPR 取得用戶「有效同意」的原則,而遭法國處以 5 千萬歐元罰金。由此可見,若未能符合對於個資保護之規範,不僅蒙受巨大財產損失,更會造成人們失去信任,不得不慎。
簡言之,HIPAA 是美國電子病歷相關規範,GDPR 則是歐盟的個資法,若產品想進入美國便需要通過 HIPAA,而若想打進歐洲市場,則須符合歐盟的GDPR。雖然 HIPAA 與 GDPR 的規範相當繁複,且裁罰力度極大,但究其目的,無非是在個資保護的前提下,盡可能使資訊流通,以增進產業發展。
從技術面的保護上,提高用於儲存和處理醫療記錄的 IT 系統安全性可降低個資遭駭的風險。對於資安問題,美國證券交易委員會合規檢查和審查辦公室 (OCIE) 匯總經紀交易商、投資顧問、清算機構、國家證券交易所和其他 SEC 註冊人數千次檢查的觀察結果,認為企業為加強其網路安全而採取的常見方法為以下七點:
生醫數據開放,福耶禍耶?
隨著科技化的醫療走向,個人醫療數據的蒐集與使用已不可免,然在社會規範演變跟不上科技迅速發展的今天,醫療產業發展與個人隱私保護的天秤如何權衡仍未有完美方案,誠如曾任職於北美最大創新中心 MaRS 創新夥伴關係總監沙哈布・沙納扎里 (Shahab Shahnazari) 所言:
資訊的開放猶如打開潘朵拉的盒子,我們應預先計劃、預測和避免這種風險?
還是應該先打開盒子,邊走邊釐清?
總結來說,生醫數據開放與隱私保護間的定奪務須嚴謹以待,否則如 Sentara、Google 遭受金錢重罰,失去重要資金,更使人們徹底失去對該企業的信任,甚至喪失對於整體醫療數據開放的信任,則對於未來生醫產業發展將是一大噩耗。
相關文章:Health-Tech FAIL: Lessons for Entrepreneurs from Health Start-ups Gone Awry (Healthcare Outlook,2022/03/30)
參考文獻:
- Privacy and Security in Healthcare: A Must-read for Healthtech (STEEL KIWI)
- SEC releases cybersecurity and resiliency observations: A potentially useful guide for businesses (Hogan Lovells Solutions Limited,2020/06/02)
- OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information (HHS Press , 2019/11/27)