標籤: HITEC

ePHI

EPHI (Electronic Protected Health Information)，意指任何能被連結到受保護的個人健康資料，包括健康狀況、醫療服務提供、醫療服務交易記錄等資料EPHI需要遵循HIPAA (Federal Health Insurance Portability and Accountability Act, 健康保險隱私及責任法案)的規定。

—————-

HIPAA
健康保險隱私及責任法案，Federal Health Insurance Portability and Accountability Act。美國政府在1996頒佈，在美國的醫療服務行業都必須遵守HIPAA，HIPAA訂定了各種安全標準，規定該如何以電子文件的形式來建立、儲存、傳送受保護的健康資料，確保病人的就醫記錄、健康資訊的隱私。包括門診、住院機構、收取醫療服務費用的健康及心理健康服務提供者，都必須遵守。HIPAA規定，必須在確保資料安全的情況之下，病人的資料必須被保存六年。

• HIPAA Title I：當勞工及家屬因為換工作或失業時，由HIPAA保護他們的健康保險。
• HIPAA Title II：即AS (Administrative Simplication, 行政程序簡化)，為了防止醫療服務被濫用和詐騙，規定建立國家級標準的醫療資訊相關行政規章，適用於各種受保單位(covered entities)，包括：健康保險、clearing house、涉及特定付款的醫療機構、社區健康資訊系統、健康照護提供機構等。

—————-

HIPAA Title II
HHS公布了五項AS原則：

1. Privacy Rule
2. Transactions and Code Sets Rule
3. Security Rule
4. Unique  Identifiers Rule
5. Endorcement Rule

Privacy Rule

• 當有公權力依法要求時，受保單位(covered entities)必須配合提出相關PHI資訊。
• 受保單位在為了促進治療、付款、醫療照護處置等情況時，可以不經過受保人的書面同意即逕自公開使用相關PHI資訊，且受保單位只能公開為達其目的最少所需資訊。任何其他的使用都必須得到受保人的書面同意。
• 受保人有權要求受保單位更正PHI資訊中有謬誤之處。
• 當受保單位有需要使用受保人的資訊時，必須通知受保人。
• 受保人有權指定受保單位使用何種聯絡方式與他聯繫，例如使用手機號碼而非家裡的室內電話。
• 受保單位必須設置專門的單位和人員來處理受保人的諮詢和問題。
• 受保單位必須持續追蹤政府提出的PHI資料隱私安全政策。

Transactions and Code Sets Rule

• 主旨是促進醫療照護付費流程標準化，提高效率。
• HIPAA/EDI (Electrical Data Interchange)規範在2003年頒佈，在2012年被ASC X12 005010和NCPDP D.0取代。
• 使用電子傳輸醫療資訊的醫療機構，必須遵循HIPAA的標準，包括42 USC § 1320d-2和45 CFR Part 162，才能夠收受付款。
• 主要的EDI(X12)交易類型包括：
  • EDI Health Care Claim Transaction set (837)
  • EDI Retail Pharmacy Claim Transaction (NCPDP 5.1)

Security Rule

訂定各種資料安全規範，包含：

1. Administrative Safefuards
   • 受保單位需訂定書面資料安全管理流程
   • 規範只有特定資格員工才能查閱使用EPHI
   • 若將外包給第三方業者，則該業者也必須遵循HIPAA的相關規範
   • 訂定因應危機事件的處理方式
2. Physical Safeguards
   • 規範如何妥善建置和汰換各種存取PHI資料的硬體和軟體
   • 對於存有PHI資料的使用和存取必須被嚴格控管，且僅限於被授權的員工
   • 查閱PHI的電腦和螢幕必須設置在人群往來較少的地方
   • 需對員工實施相關教育訓練
3. Technical Safeguards
   • 對於使用電腦系統、自動登出、資料加解密、以網路傳輸PHI資訊、防止外人介入操作等事項的規範
   • 受保單位需確保資料庫系統沒有被未授權的員工更改資料
   • 資料驗證、錯誤驗證、數位簽章等機制
   • 受保單位需驗證收受PHI資料的第三方身份
   • 受保單位需留存遵循HIPAA規範來執行業務之記錄，以供政府查驗
   • 建立危機處理機制

Unique Identifiers Rule

• 受保單位必須使用NPI (National Provider Identifier)來進行付費時的認證流程。NPI由10位元的英文或數字組成的唯一編碼。

Enforcement Rule

• 訂定各種違反HIPAA規範時的罰則。

——————

緊急通報

• 如果醫療機構(all HIPAA-coverd entities)中有發生資料外洩的情況(data breach)，必須主動通知所有的病人以及HHS (Department of Health and Human Services)發生了這件事情(breach notification)。
• HITECH (Healthcare Information Technology for Economic and Clinical Health)甚至規定，如果資料外洩的規模涉及超過500名病人，醫療機構就得通知新聞媒體。
• 但如果這些EPHI資料是以加密的格式進行傳送和儲存，那麼醫療機構就不需要通知病人。

上述這些資料外洩的情況包括以下幾種例子：

• 駭客入侵防火牆，且取了健保受保人資料庫
• 醫療機構員工未經允許，查看同事的就醫記錄
• 醫療機構員工把含有PHI的email寄給不該收到這些資訊的人
• 醫療機構員工在未經許可的地方討論病人的健康資訊

—————

資料加密
HHS並沒有明白說明，醫療機構必須選擇哪些廠商的資料加密方式，但是HHS採用NIST (National Institute of Standards and Technology)的規範，因此市面上的資料加密方式必須要通過NIST認可的資料加密標準，NIST在許多出版刊物中陳述其細節。

資料加密有四種範疇：

1. 動態資料(data in motion)：例如所有會透過網路傳輸的資料，包括無線網路
2. 靜態資料(data at rest)：例如儲存在電腦、資料庫、行動裝置、CD、DVD、紙本中的資料。
3. 使用中的資料(data in use)：例如正在被建立、取得、更新、刪除中的資料，包括正在員工電腦中處理編輯的資料、正被叫出在電腦上檢視的資料。
4. 棄置的資料(data disposed)：例如被汰換掉的電腦、紙本檔案。

資料加密規範

• 有效的動態資料加密方式必須遵循FIPS 140-2的規範(Federal Information Processing Standards validated)，市面上已經有許多廠商推出符合此規範的解決方案。醫療機構必須採用FIPS 140-2 validated而非FIPS 140-2 certified的解決方案，後者通常沒有技術上實際的效能。(While encryption is in the spirit of NIST’s requirements, it hasn’t been validated.)
• 有效的靜態資料加密方式必須遵循NIST Special Publication 800–111 “Guide to Storage Encryption Technologies for End User Devices”，醫療機構必須使用有FIPS-approved演算法的加密方案，AES (Advanced Encryption Standard)是最被建議使用的加密演算法。
• 棄置的資料，如果是紙本、底片或其他實體資料，必須進行碎紙等處置，使其中的PHI無法再被讀取或重構；如果是電子檔案資料，資料必須以NIST Special Publication 800-88的規範來清除。
• 在NIST Special Publication 800-57 “Recommendation for Key Management”裡面，則有詳細地提及加密管理、選擇加密演算法的準則、適當的key size、加密模組等資訊。

——————

參考資料：AMA、SC Magazine、Warner Norcross&Judd、DCIG、CMS