2 大生醫企業遭遇駭客入侵：如何建立強固的資安對策

生醫大廠因駭客入侵致客戶個資外洩，恐釀信任危機

         2021 年愛爾蘭衛生健康署遭駭客入侵，致愛爾蘭醫療體系癱瘓泰半；2019 年加拿大醫療公司 LifeLabs 爆發資安危機，使大量病人個資被盜取；2021 年由美國五家醫院組成的醫療系統 Scripps Health 亦遭駭客攻擊，造成病人敏感資訊外洩。

         近年來，醫療資訊電子化、生物資料庫研究已是時代走向，但隨醫療組織數據頻遭攻擊，對個人醫療資訊保障，人們仍存多少信任？能否經得起高標準的檢驗呢？

生醫數據時代，當個資不僅是姓名電話，隱私權該如何保護？

在精準醫療發展中，大數據分析已是常態，尤當可用資料越多且準確，對病人的掌握便越高，但同時資料開放也勢必弱化個人隱私保障強度，兩者形成雙向拉扯。以現今生醫趨勢來看，醫療數據分析對醫學進一步突破至關重要，適度開放個人資料為研究之用已是各界呼聲，對此，強化資安技術並訂定更嚴謹的法規已勢在必行，唯有完善此兩道防護網，方能降低爭議並促進醫學未來發展。                                               

從法律面來看，美國《健康保險可攜與責任法》(HIPAA) 與歐盟《一般資料保護規則》(GDPR) 是醫療資訊保護管理的主要法規，在評估醫療科技解決方案時，都會優先檢視是否通過 HIPAA 與 GDPR的合規性驗證，以展現產品資訊管理強度。

HIPAA 對隱私規定主要是就可識別之特定個人資訊  (personally identifiable information, PII) 進行規範，如果該醫療資訊為 PII，原則上需取得資料主體的書面授權才能使用或揭露；GDPR 保護範圍則包括個人的身分資料、電子紀錄、生物特徵，明定如健康資料等特種個資原則上禁止被處理，但為追求公益、科學或歷史研究或統計目的而有必要處理可為例外，唯須確保資料最小化原則 (principle of data minimisation) 的落實，並以假名化保護個人資訊。

下圖是 GDPR 與 HIPPA 的規範要點，如欲合規，基本上需達成以下要素：

舉例來說，美國醫療機構 Sentara 因違反 HIPAA 第 164.400 條以下「違反通知規則」（Breach Notification Rule），在醫療個資外洩時未確實落實通知義務，因此遭美國衛生及公共服務部（Department of Health and Human Services / HHS）轄下的公民權利辦公室（Office for Civil Right / OCR）開罰 217 萬美元。而在 GDPR 的違反上，Google 的服務條款文字便因不夠透明完整且違反 GDPR 取得用戶「有效同意」的原則，而遭法國處以 5 千萬歐元罰金。由此可見，若未能符合對於個資保護之規範，不僅蒙受巨大財產損失，更會造成人們失去信任，不得不慎。

簡言之，HIPAA 是美國電子病歷相關規範，GDPR 則是歐盟的個資法，若產品想進入美國便需要通過 HIPAA，而若想打進歐洲市場，則須符合歐盟的GDPR。雖然 HIPAA 與 GDPR 的規範相當繁複，且裁罰力度極大，但究其目的，無非是在個資保護的前提下，盡可能使資訊流通，以增進產業發展。

從技術面的保護上，提高用於儲存和處理醫療記錄的 IT 系統安全性可降低個資遭駭的風險。對於資安問題，美國證券交易委員會合規檢查和審查辦公室 (OCIE) 匯總經紀交易商、投資顧問、清算機構、國家證券交易所和其他 SEC 註冊人數千次檢查的觀察結果，認為企業為加強其網路安全而採取的常見方法為以下七點：

生醫數據開放，福耶禍耶？

隨著科技化的醫療走向，個人醫療數據的蒐集與使用已不可免，然在社會規範演變跟不上科技迅速發展的今天，醫療產業發展與個人隱私保護的天秤如何權衡仍未有完美方案，誠如曾任職於北美最大創新中心 MaRS 創新夥伴關係總監沙哈布・沙納扎里 (Shahab Shahnazari) 所言：

資訊的開放猶如打開潘朵拉的盒子，我們應預先計劃、預測和避免這種風險？

還是應該先打開盒子，邊走邊釐清？

總結來說，生醫數據開放與隱私保護間的定奪務須嚴謹以待，否則如 Sentara、Google 遭受金錢重罰，失去重要資金，更使人們徹底失去對該企業的信任，甚至喪失對於整體醫療數據開放的信任，則對於未來生醫產業發展將是一大噩耗。

相關文章：Health-Tech FAIL: Lessons for Entrepreneurs from Health Start-ups Gone Awry (Healthcare Outlook,2022/03/30)

參考文獻：

1. Privacy and Security in Healthcare: A Must-read for Healthtech (STEEL KIWI)
2. SEC releases cybersecurity and resiliency observations: A potentially useful guide for businesses (Hogan Lovells Solutions Limited,2020/06/02)
3. OCR Secures $2.175 Million HIPAA Settlement after Hospitals Failed to Properly Notify HHS of a Breach of Unsecured Protected Health Information (HHS Press , 2019/11/27)