什麼是 PHI?
在醫療資安領域,Personal Health Information(PHI,個人健康資訊)是合規保護的核心標的。任何可識別個人身份、且與健康狀況或醫療支付相關的資料,皆受 HIPAA 嚴格規範。
PHI 的定義範疇
PHI 涵蓋由受規範實體(Covered Entity)所持有的資料,包含:姓名、地址、出生日期、社會安全碼、診斷紀錄、處方資訊及保險理賠資料。HIPAA 定義了 18 項識別元素,只要資料包含其中任一項目並與健康相關,即構成 PHI,必須依法保護。電子形式的 PHI 另稱為 ePHI,需額外符合 HIPAA Security Rule 的技術防護要求,包括存取控制、稽核日誌與加密傳輸。
HIPAA 合規保護機制
HIPAA 透過三大規則保護 PHI:Privacy Rule 規範 PHI 的使用與揭露條件;Security Rule 要求 ePHI 的技術與管理防護;Breach Notification Rule 要求在資料外洩後 60 天內通報主管機關與受影響當事人。違規罰款依情節輕重,每項違規最高可達 $1,900,000 美元。受規範實體與其業務夥伴(Business Associate)均須簽訂 BAA 協議,確保整條資料鏈皆符合合規要求。
💡 重點整理
- PHI 定義:可識別個人身份且與健康或支付相關的資料,共 18 項識別元素。
- ePHI:電子形式的 PHI,須額外符合加密、存取控制等技術防護規定。
- 三大規則:Privacy Rule、Security Rule、Breach Notification Rule 構成 HIPAA 核心框架。
- BAA 協議:所有接觸 PHI 的第三方夥伴皆須簽訂,責任不因外包而解除。
正確識別與保護 PHI,是醫療機構與科技廠商進入醫療市場的首要門檻。合規不是成本,而是信任的基礎,也是保障病患權益最直接的行動。
📚 參考文獻
- U.S. Department of Health & Human Services — Summary of the HIPAA Privacy Rule(官方原文)
- HHS — HIPAA Security Rule Overview(ePHI 技術防護標準)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言