Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
我们是否可以说HIPAA并没有涵盖所有个人医疗信息?如果是这样,哪些类型的数据没有受到保护?我的公司是否应该采取措施来加强保护?
Mike Chapple:在保护个人医疗信息(PHI)方面,HIPAA并没有涵盖全部数据。这是一个常见的误解,认为HIPAA监管着任何人的所有医疗数据。实际上,这个法律仅适用于四种不同类型的HIPAA受监管实体:
• 医疗保健提供者,例如医生和医院
• 医疗计划,例如医疗保险公司
• 医疗清算中心,例如医疗账单服务和信息交流
• 上述HIPAA监管实体的商业伙伴
在这些类别中也有例外。例如,作为HIPAA监管实体,医疗保健提供者必须参与该法规规定的列表中一个或多个电子交易,例如处理医疗保险索赔。没有涉及电子交易的小型提供商可能不会受到该法律的监管。
虽然受监管实体必须遵守HIPAA的隐私和安全法规,但企业处理的很多类型的医疗信息并不属于该法律的监管范围之内。例如,消费者医疗技术领域。对于电子活动监视器(例如Jawbone Up或者FitBit)或者联网血压计,这些设备可能会传输医疗信息到云端--不受监管。同样地,雇主可能处理员工赔偿要求或FMLA记录中的医疗信息,也属于HIPAA范围之外。
因此,对于更有效地保护PHI,企业是否应采取措施来补救呢?底线是,如果企业不是受监管实体或者商业伙伴,并不需要关注HIPAA规定。但是,任何处理敏感个人医疗信息的人都应该采取措施确保这些信息受到保护。虽然这可能不是法律义务,但这是应该做的事情。
