什么是受保护的健康信息 (PHI)?
受保护的健康信息(PHI)是为保护患者医疗隐私而必须保护的任何信息。法规要求承保实体--提供医疗保健服务的人员或组织--保护与患者过去、现在或将来的身体或精神健康有关的信息。患者的医疗计划必须确保可靠、持续地保护患者的 PHI。
根据《健康保险可携性和会计法案》(HIPAA)及其《隐私规则》的定义,PHI 是 "通过电子媒体传输、以电子媒体保存或以任何其他媒体形式传输的个人身份信息"。
在过去 20 年里,PHI 配置所涵盖的信息形式一直在稳步扩大。随着采集、存储和共享 PHI 技术的进步,以及病人保密监管合规性环境的发展,PHI 的大规模和范围将持续扩大。
受保护健康信息 (PHI) 为何重要?
受保护的健康信息非常重要,因为医疗服务提供者必须保护患者医疗数据的机密性。由于许多 PHI 都是高度个人化的,因此医疗服务提供者会不遗余力地确保信息在任何时候都是安全的。
医疗保健从业人员、健康维护组织 (HMO) 及其患者之间有着深厚的隐性信任,他们有权认为医疗保健组织会妥善保护他们的 PHI。
这种保护必须贯穿患者的整个就医过程,并在提供医疗服务的任何地点进行,如医生办公室、医院、远程诊所或远程医疗就诊。
HIPAA 和 PHI
有许多合规性监管准则规定,一旦发生个人健康信息泄露事件,就会受到处罚。涵盖 PHI 的最大监管框架是 HIPAA。根据美国卫生与公众服务部(HHS)的规定,HIPAA 隐私规则 "为承保实体所持有的个人健康信息提供联邦保护,并赋予患者一系列有关该信息的权利"。
隐私规则》还确保权利和特权的平衡,以确保 PHI 得到适当披露,从而提供患者护理和相关要求。
受保护的健康信息示例
1.个人身份信息(PII)
个人身份信息 (PII) 包括任何能将病人与个人身份信息联系起来的数据,如人口统计数据、驾驶执照和医疗保险数据。
2.个人健康信息(PHI)
PHI 是 PII 的子集,指专门与 HIPAA 实体共享的信息。这可能包括病人与医疗服务提供者之间的通信、账单记录、诊断设备的数字扫描以及测试结果。
个人健康信息标识符示例
HHS 列出了 18 种特定的 PHI 标识符:
- 病人姓名
- 地理要素(地址、城市、邮政编码)
- 与个人健康或身份有关的日期(出生日期、入院日期、出院日期、死亡日期)
- 电话号码
- 传真号码
- 电子邮件地址
- 社会保障号码
- 病历编号
- 医疗保险受益人编号
- 账号
- 证书/许可证编号
- 车辆识别器
- 设备属性或序列号
- 数字标识符,如网站 URL
- IP 地址
- 生物识别元素,包括手指、视网膜和声纹
- 全脸摄影图像
- 其他识别编号或代码
什么是电子健康信息?
电子 PHI(ePHI)是指电子/数字格式的 PHI。这可能是一份 PDF 格式的医疗报告,也可能是病人病史的在线数据库。 HIPAA 安全规则特别提到了 ePHI。在该规则中,有一个小节专门涉及电子医疗数据。
如今,以电子形式创建、存储和共享的患者信息比以往任何时候都多。医疗服务提供商必须密切关注这些数字记录在医疗生态系统中的端到端安全。
HIPAA 安全规则》规定了保护所有电子健康信息的保密性、完整性和可用性(称为 CIA 三要素)的要求。这包括识别和防范对数字医疗信息安全和安保的预期威胁。它还允许承保实体建立旨在确保合规性的系统、程序和政策,以符合《安全规则》中规定的 HIPAA 准则。
保护受保护健康信息的安全
HIPAA 安全规则》规定了承保实体必须采取的具体步骤,以证明其合规性,从而确保患者和医疗服务提供者之间在保护 PHI 和 ePHI 方面的信任。这些步骤分为三类:
- 行政保障
- 实物保障
- 技术保障
1.行政保障
行政保障措施的目的是找出并确定个人健康保 险的潜在风险,并采取步骤降低安全风险和漏洞。这些规定还要求安全官员制定和实施受保实体的安全规则和程序。
医疗服务提供者还必须定期评估其安全政策在多大程度上符合 HIPAA 安全规则的要求。
2.物质保障
实体保障措施包括限制未经授权对设施的实体访问,同时允许授权访问等问题。还要求受保实体部署政策和程序,涵盖正确处理包含 PII 和 PHI 的电子存储数据和电子媒体。
3.技术保障
技术保障措施旨在确保只有经过适当授权的人员才能访问数字记录和其他电子信息。这不仅包括采集、存储和管理医疗保健和医疗记录所要求的硬件、软件即服务,还包括管理访问的安全凭证和认证程序。
它们还包括加密和其他技术,旨在防止通过数字网络不当获取 PHI 和 ePHI。
什么是 PHI 外泄?
近年来,医疗行业针对患者个人信息的网络攻击激增。恶意行为者利用勒索软件和敲诈勒索等手段从医疗服务提供者那里获得高额报酬,有些甚至将患者记录卖给出价最高的人。
根据 Unit 42 的《 2022 年事件响应报告》,医疗保健组织平均每笔赎金支付 141 万美元。而根据 IBM 的《 2022 年数据泄露成本 》报告,数据泄露的 成本 高达 1010 万美元。
什么算作 PHI 外泄?
HHS 将 PHI 违规行为广泛定义为 "根据《隐私规则》,损害受保护健康信息的安全或隐私的不允许的使用或披露"。在现实世界中,这可能包括导致 PHI 暴露的各种行为。
例如,实施医疗保险欺诈或其他保险诈骗的黑客通常会使用各种技术来获取 PHI。勒索软件、身份盗用、社交工程、凭证盗用、网络钓鱼和恶意软件都被用来入侵未加密或保护不足的个人设备。
根据 HIPAA,个人健康信息泄露有四个关键要素:
- 所涉及的 PHI 的性质和范围,包括标识符类型和重新识别的可能性。
- 使用受保护健康信息或向其披露信息的未经授权者。
- 是否实际获取或查看了受保护的健康信息。
- 受保护健康信息所面临风险的缓解程度。
在大多数情况下,无意行为而非恶意行为导致的 PHI 外泄不被视为 HIPAA 违规行为。强烈建议受保实体向其律师和合规性团队咨询,以确保 PHI 的披露是否违反 HIPAA 或其他隐私准则。
不断变化的景观:新兴技术与 PHI 安全
医疗保健行业正在经历多方面的巨大变革,包括医疗保健配置的方式、时间、地点和原因。远程医疗的兴起、智能医疗设备(医疗物联网)数量的增加以及日益复杂和互联的 IT 环境等趋势共同造就了一个快速变化的局面。
为了保证 PHI 的安全,医疗保健组织及其合作伙伴/业务伙伴需要一个经验丰富的网络安全合作伙伴来设计、构建、信任和监控企业范围内的网络安全操作。
在评估潜在的网络安全合作伙伴时,首席信息安全官及其同事应要求具备几项关键性能力:
了解 Palo Alto Networks 如何成为全球医院和医疗系统首选的网络安全领导者。请访问 www.paloaltonetworks.com/healthcare。
受保护健康信息 (PHI) 常见问题
