標準簡介
《健康保險流通與責任法案》(HIPAA)是美國於 1996 年 8 月頒布的基礎性聯邦法律,旨在保護敏感的患者健康資訊,防止未經患者同意或知情而被揭露。HIPAA 建立了保護受保護健康資訊(PHI)的國家標準,確保醫療保健提供者、健康計畫、醫療保健清算所及其業務合作夥伴實施適當的安全措施。該法律包含多項規則,包括隱私規則(2003 年 4 月生效)、安全規則(2005 年 4 月生效)和違規通知規則(2009 年 9 月可執行)。HIPAA 適用於'受保實體'(進行電子交易的醫療保健提供者、健康計畫和醫療保健清算所)以及代表受保實體處理 PHI 的'業務合作夥伴'。
HIPAA 合規要求實施三類安全措施:行政措施(政策、程序、培訓)、實體措施(設施存取控制、工作站安全)和技術措施(存取控制、加密、稽核控制)。隱私規則管理 PHI 的使用和揭露,賦予患者存取其記錄、請求更正和接收揭露說明的權利。安全規則專門針對電子 PHI(ePHI)保護,透過必需和可定址的實施規範。最新更新包括 2024 年生殖健康隱私規則和 2025 年提議的網路安全增強措施,以應對勒索軟體和駭客威脅。美國衛生與公眾服務部民權辦公室(OCR)透過稽核和調查執行 HIPAA,每次違規的罰款從 100 美元到 50000 美元不等,每類違規每年最高可達 150 萬美元。2024-2025 年 HIPAA 稽核計畫重點關注與網路安全威脅相關的安全規則合規性。
shield
適用範圍
適用於各種規模和產業的組織,涵蓋保密性、完整性和可用性的保護。
account_tree
結構
遵循高階結構(HLS),確保與 ISO 9001 等其他 ISO 管理系統標準無縫整合。
verified
認證
組織在成功完成資訊安全管理系統的外部稽核後,可取得認可的認證。
list_alt 核心要求(第 4-10 條款)
- 組織的背景
- 領導與承諾
- 規劃與風險評估
- 支援與認知
- 營運
- 績效評估
- 持續改進
官方文件
實施時間線
gavel
Aug 1996
柯林頓總統簽署 HIPAA - 公法 104-191 簽署成為法律,保護患者健康資訊
privacy_tip
Dec 2000
隱私規則發布 - HHS 發布最終隱私規則,建立 PHI 保護的國家標準
check_circle
Apr 2003
隱私規則生效 - 醫療保健提供者、健康計畫與清算所必須遵守
security
Feb 2003
安全規則發布 - HHS 發布電子 PHI(ePHI)保護的最終安全規則
verified_user
Apr 2005
安全規則生效 - 受保實體必須實施行政、實體與技術安全措施
notification_important
Sept 2009
違規通知規則可執行 - HITECH 法案要求通知個人 PHI 違規的規定開始執行
rule
March 2013
綜合最終規則可執行 - 加強隱私與安全保護,擴展至業務合作夥伴
health_and_safety
June 2024
生殖健康隱私規則生效 - 為生殖醫療資訊隱私提供新保護
shield
Jan 2025
安全規則網路安全更新提議 - 發布 NPRM,增強網路安全標準以應對勒索軟體