保護任何醫療保健機構中的資料並非易事。醫療保健提供者及其合作夥伴必須在保護患者隱私與提供有效的患者照護之間取得平衡,同時還要符合與資料隱私有關的嚴格法規要求。
由於受保護健康資訊(PHI,protected health information)是個人最敏感(且對犯罪分子而言也是最有價值)的隱私資料之一,因此,醫療保健提供者及其他處理、使用或傳輸患者資訊之機構的準則中,都包含嚴格的資料保護要求,且附帶說明未符合要求時的嚴厲制裁。儘管此一挑戰已得到廣泛認可,但為何當敏感資料在醫療保健機構內部移動以及移入或移出醫療保健機構時,保障敏感資料的完整性仍是一個經常被忽視的漏洞?
當然,共享資訊是任何機構的基本要求及功能,不共享就無法運作,但是,當該資訊具有最敏感的個人及臨床性質時,就不能有任何安全性的風險。從不起眼的電子郵件附件到大規模自動化的機器對機器傳輸,醫療保健提供者都面臨著可能是獨一無二的風險,且必須加以解決,否則可能會遭受處罰。鑒於這些功能必須繼續,機構才能運作,因此,就其應用與技術功能而言,必須以有效的安全措施加以保護。
由於未能妥善保障PHI所涉及的重大風險,許多醫療保健提供者會求助於專業的安全合作夥伴,他們能建構、管理並維護與PHI所面臨威脅之性質相當的安全裝置。打造可行 PHI 安全策略的一個關鍵要素就是決定資料的移動方式,不論是由個人使用者操作或是作為某些自動化流程的一部分。最佳實務規定,醫療保健機構須確認已部署技術,對靜態及傳輸中(不論實際上的傳輸方式為何)的資料加密。而涵蓋所有可能傳輸使用案例的「FIPS 140-2」解決方案則可確保機構敏感資料的完整性,其管理功能提供了對實際過程本身可稽核的可視性。其涵蓋任何傳輸下所有面向的全方位日誌,提供過程的透明度,而各種錯誤控制也進一步降低了資料遺失或傳輸過程任何部分傳輸失敗的風險。
但部署豐富且可運作的技術後,仍有其侷限性 - 特別是在個人使用者進行傳輸時。部署侵入性、非直覺化或單純很難使用的技術時,不可避免地會導致使用者以某種方式繞過該技術,因而立即引入了其原本想要消除的特定安全風險。因此,除了採用功能強健、有效且高效率的技術解決方案外,此技術還必須要讓個人使用者能輕鬆使用。它應完全或盡可能複製使用者所熟悉的流程與程序,以利其平順地採用與應用。
Progress 積極支援並與醫療保健提供者的合作機構共同努力,為其敏感資料提供保障。Progress MOVEit 是由全球系統整合業者、服務提供者及其他技術提供者部署且值得信賴的安全檔案傳輸平台。醫療保健業的許多機構都非常重視 MOVEit,因其具有優異的實績,可為靜態與傳輸中的資料提供無與倫比的安全等級,且 IT 及營運團隊都可輕鬆採用。
David Martin 與服務提供者、諮詢機構及系統整合業者合作,共同協助醫療保健機構部署保障其最敏感資料的技術。如需更多資訊,請透過 dmartin@progress.com 與 David 聯絡。
David Martin
David Martin is responsible for managing Progress' partner relationships in the UK and Ireland.