近日,英国标准协会(以下简称BSI)发布《个人健康信息手册》(以下简称《手册》)。在医疗行业迈向数字化并展望人工智能未来的背景下,该手册旨在帮助医疗机构更好保护个人健康信息(PHI)。

个人健康信息关乎保护数字医疗环境中的信息保密性、完整性和可用性,在数据泄露和违规行为带来严重经济损失的背景下,保护个人健康信息极为重要。如今,网络犯罪每年给世界造成约6000亿美元的损失,几乎相当于全球GDP的0.8%。医疗数据作为高价值资产,正日益受到犯罪分子的关注。因此,医疗行业机构亟须加大对数据保护机制的投资,以增强数据安全性。

随着医疗行业积极拥抱数字化转型,保护个人健康信息至关重要。推进ISO 27799认证是ISO/IEC 27000框架的要求,也是强化医疗机构组织能力的战略举措。通过与该标准接轨,医疗行业可以减少安全事故,提高员工士气,并增强公众对个人健康信息处理系统的信任。

在全球范围内,不同地区的数据保护法规存在显著差异。欧盟的《通用数据保护条例》(GDPR)相较于美国的《健康保险携带和责任法案》(HIPAA),在多个方面更为严格。《通用数据保护条例》不仅涵盖了医疗数据,还延伸至市场营销信息,并对数据存储的时间设定了限制。此外,它制定了更严格的数据泄露通知制度。巴西和韩国关注不完整或匿名化数据的保护,因为这些数据一旦与其他信息结合使用,就可能被用来识别个人身份。在中国,如果数据显示数据主体存在任何违禁行为,数据管理者必须向有关部门报告。在印度,当地的数据保护制度为政府机构提供了广泛的豁免权。

BSI的资源聚焦于不同司法管辖区的数据和隐私要求,强调了标准在指导建立强有力的信息安全管理实践中发挥着重要作用。例如,中国正在实施《个人信息保护法》(PIPL),这表明数据隐私问题得到了日益重视。ISO 27799通过全面的信息安全管理方法,与《个人信息保护法》等新兴法规相辅相成。这一标准为医疗机构提供了全方位的指导,以帮助其在遵守本地法规的同时也符合国际标准,从而有效地保护个人健康信息。

《手册》阐述了医疗机构如何利用信息安全管理标准(如ISO 27799和ISO 27000系列标准),实现对数据的强有力保护,其中包括患者信息在内的高风险敏感数据。通过遵循这些标准,医疗机构不仅能够增强用户信任,还能提升整体信息安全水平。

《手册》指出了医疗行业当前面临的挑战,包括:

· 技术的高速发展和遗留数据问题

· 互操作性

· 遗留数据

· 日益复杂的网络威胁

《手册》还强调了新兴技术及其相关风险,包括医疗物联网(IoMT),即具备互联网连接功能的医疗设备、软件和硬件,这些设备能够收集、存储和/或传输数据;人工智能和远程医疗的蓬勃发展;还指出在安全性和可用性之间保持平衡的重要性。

通过提供实用建议,《手册》探讨了信息安全标准系列ISO/IEC 27000以及医疗数据安全的演变。《手册》指出,综合性的方法不仅旨在提升医疗机构应对不断变化威胁的能力,还通过展示对最高标准的信息安全和隐私信息管理的承诺,在整个医疗生态系统中建立信任,从而增强患者对医疗系统的信心。

《手册》指出了综合方法的关键优势,包括:

· 全面的风险管理

· 强化的合规性

· 加强的保密性和完整性

· 一致的信息安全文化

BSI全球医疗健康董事总经理Angus Metcalfe表示:“在全球主要市场,医疗数据保护立法和人工智能法规正在迅速发展。本质上,ISO/IEC 27000系列标准的相互作用不仅仅是一系列规范的简单集合,而是一个协同机制,为个人健康信息管理开创了一个更加坚韧的未来。随着全球医疗数据保护领域的不断发展,这些标准仍然举足轻重,帮助医疗行业围绕其需要保护的敏感数据,构建和维护一个值得信赖的数字堡垒”。