MikeChapple,CISSP,圣母大学IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,并且是《信息安全》杂志的技术编辑。我们能说HIPAA不涵盖所有个人医疗信息吗?如果是这样,哪些类型的数据不受保护?我的公司应该采取措施加强保护吗?MikeChapple:在保护个人医疗信息(PHI)方面,HIPAA并未涵盖所有数据。HIPAA监督任何人的所有医疗数据,这是一种常见的误解。事实上,该法律仅适用于四种不同类型的HIPAA监管实体:?医疗保健提供者,例如医生和医院?医疗计划,例如健康保险公司?医疗信息交换所,例如医疗账单服务和信息交换?以上对于HIPAA受监管实体的业务伙伴,这些类别中也有例外情况。例如,作为受HIPAA监管的实体,医疗保健提供者必须参与法规指定列表中的一项或多项电子交易,例如处理健康保险索赔。不参与电子交易的较小供应商可能不受法律监管。虽然受监管实体必须遵守HIPAA的隐私和安全法规,但企业处理的许多类型的医疗信息不在法律范围之内。例如,消费者医疗技术领域。对于电子活动监测器(例如JawboneUp或FitBit)或连接的血压监测器,这些设备可能会在没有监督的情况下将医疗信息传输到云端。同样,雇主可以处理不属于HIPAA范围的FMLA记录中的雇员赔偿要求或医疗信息。那么,企业是否应该采取补救措施来更有效地保护PHI?底线是,如果企业不是受监管的实体或业务伙伴,则无需关注HIPAA法规。但是,任何处理敏感个人医疗信息的人都应采取措施确保其受到保护。虽然这可能不是一项法律义务,但却是应该做的事情。
