在電子與資通訊科技的協助下，醫療人員得以更精確、更有效率地提供醫療服務；但相對的，這也代表個人醫療資訊也將因此更容易流通。如何享有科技所帶來的利益，同時，亦確保個人醫療資訊得到完善的保護，無論於技術面及法制面，都因為科技的使用增加許多複雜性。

美國政府通過「經濟與臨床健康資訊科技法」

以Google在去年（2008年）5月所推出的「Google Health」醫療紀錄服務為例，使用者（該項服務僅於美國地區提供）不但可以透過這項服務紀錄個人醫療資訊，使用者或醫師亦可藉此與各大藥局與診所，透過網路更便捷地取得醫療紀錄。

雖然，「Google Health」副總裁梅爾一再強調，這套系統對於醫療資訊採取最高等級的保護措施，但仍無法擺脫外界對這項服務可能洩露個人醫療資訊的疑慮。

從法制面的角度觀察，該項疑慮的源頭，係來自於該項服務是否為美國1996年，醫療保險可攜性與責任法案（the Health Insurance Portability and Accountability Act of 1996, 以下簡稱「HIPAA」）的規範範圍內。

事實上，除了「Google Health」外，微軟也有類似的「HealthVault」服務。無論如何，類似事件透露美國大眾對於醫療資訊保護的重視程度。

今年2月通過的「經濟與臨床健康資訊科技法」（The Health Information Technology for Economic and Clinical Health Act, HITECH），該法案屬「2009美國經濟振興暨再投資法案」 （the American Recovery and Reinvestment Act of 2009，ARRA)所包裹法案之一，相關修法中加強了對醫療資訊的保護。

法案中要求美國衛生暨福利部（the Department of Health and Human Service，HHS），針對受保護的醫療資訊未經授權而取得、侵入、使用或公開外洩的情形發布「暫行最終規則」（interim final regulations），課以特定主體較HIPAA既有的隱私權保護政策，更積極、且明確的告知義務。

HITECH非取代HIPAA─而是加強保護醫療資訊隱私

HHS亦於今年（2009年）8月24日，公布該項規則，其重點內容規範如下。

HITECH通知義務規則的適用主體，沿用HIPAA中所規範的「適用主體」（covered entity）與「商業夥伴」（business associate）。前者包括：任何以電子訊息傳送醫療資訊的健康計畫（health plan）、健康照護資料交換中心（health care clearinghouse）以及健康照護服務提供者（health care provider）。

後者為代表「適用主體」執行各項職能、活動與服務的代表人，包括：第三方的行政管理人、健康計畫或醫藥費支付處理的醫療給付管理人、醫療轉錄公司以及其他任何為「適用主體」執行法律、保險統計、會計、管理、行政服務的人員。

由於，其涵蓋的主體與HIPPA相同，就實質面而言，可視為對HIPPA隱私權政策的延伸與強化。惟須釐清的是，HITECH的目的並非取代HIPPA，僅是在效果上強化以往HIPAA對於醫療資訊所提供的隱私與安全性的保護。

HITECH通知義務所欲保護的客體為「未確實受保護之健康資訊」（unsecured protected health information，以下簡稱Unsecured PHI），此亦沿用HIPAA的定義。

係指未依照HHS「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals）所指定的加密與銷毀技術或方法對「適用主體」，以任何形式或媒體傳播的個人健康資訊進行保護者。

通知義務須於60個工作天內完成

換言之，對於已經加密或銷毀處理的個人健康資訊發生外洩的情形，HITECH即不再要求「適用主體」履行通知義務，因此得知HITECH並非所有的醫療資訊外洩事件的發生，皆課以通知的義務。

值得注意的是，該項實施綱領中，對於如何加密，使確保個人健康資訊受到保護，設有詳細、且具體的指引與認定。

通知義務的履行，其起點始於「適用主體」基於其合理注意義務得知資料外洩或可得而知的當日時起算，必須於60個工作天內完成通知程序。其通知的對象包括可能受影響的個人。

若資訊外洩的數量未超過500筆，則「適用主體」與其「商業夥伴」必須對於資料外洩事件進行追蹤，且於60個工作天後向HHS進行通知；對於超過500筆的資料外洩事件，則應通知當地重要媒體，以新聞稿的方式對外公告。

另外，亦不待上述60個工作天期間屆滿而同時通知HHS，HHS會將此類事件以表單方式公佈於其網頁中。而「商業夥伴」對於其所引發的資料外洩事件也應主動於知悉後60日內，通知「適用主體」。

整體而言，HITECH使上述主體首次須依法強制性地向可能受影響的個人通知醫療資訊外洩事件，此為HIPPA以往所未規範的。

HIPPA將PHI分為：電子健康記錄與個人健康記錄

其次，HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定的作法，更在法規上，直接對於洩露醫療資訊的相關主體課以刑責，強化違反HIPAA隱私權與安全規定的法律效果。

值得注意的是，受限於美國國會對HHS提出最終規則的期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定的最終確切內容仍有待確定。

但無論如何，從HITECH的通過以及暫行最終規則增修的方向來看，可以看見美國對於醫療資訊的保護，將採取更為積極、且直接的態度。

即便HITECH對於加強醫療資訊保護的態度顯而易見，但對於Google Health此類醫療記錄服務是否屬得以藉此規範，仍有許多爭議。

於HIPPA中對於PHI的形式將其分為電子健康記錄（Electronic Health Record，EHR）以及個人健康記錄（Personal Health Record，PHR），兩者之差異在於前者屬患者於醫療期間，由醫療機構或人員所蒐集的醫療資訊；後者則為個人（通常為患者）自行更新或設定的記錄。

然而，PHR並未納入於當初聯邦貿易委員會對HITECH所提出的暫行最終規則中，也無法因此對於PHR的使用要求必須符合HIPAA的隱私權及安全規範，換句話說，對於PHR的使用，即便在HITECH暫行最終規則通過後，亦僅能仰賴資訊提供者及服務提供者雙方的契約約定。

建構資料外洩判斷標準與後續解決流程

只是在此項最終規則尚未確定之前，任何對於既有規則皆有修改的可能，不過，可以確定的是美國對於醫療資訊的保護有漸趨嚴格的趨勢。

無論HITECH的通過，是否足以規範Google Health此類醫療記錄服務，對於大多數的醫療單位來說，HITECH的通過對於他們影響最甚者，莫過於必須更謹慎、小心地面對醫療過程中所取得、使用與傳輸的電子醫療資訊。

如何能夠在此項規範趨勢的背景下，在規範最終規範確認前，將其內部作業符合上述HITECH規範是更為務實的問題。

可以想見的是，建構資料外洩事件發生判斷標準，及其後續內部流程是必要的，而對於相關主體的員工進行訓練，也是落實此項工作的重要環節。此外，如何在上述主體間進行工作與責任的分配，亦為上述相關主體必須面臨的重要議題。

資料來源：

【完整內容請見《生技與醫療器材報導月刊》11月號】