因為醫(yī)療衛(wèi)生服務(wù)企業(yè)PHM的一套Amazon S3存儲桶配置錯誤并提供公開訪問，導(dǎo)致約47.5 GB的醫(yī)療數(shù)據(jù)泄露，預(yù)計約美國15萬患者的姓名、地址、醫(yī)生和病例紀錄以及周常血液檢查結(jié)果等敏感隱私信息。

安全中心的研究人員們發(fā)現(xiàn)的這批記錄被存儲在一套未經(jīng)保護的Amazon S3存儲桶內(nèi)。這套Amazon存儲庫存在配置錯誤，導(dǎo)致其可供公開訪問，任何接入互聯(lián)網(wǎng)的人士皆可訪問這些保密醫(yī)療記錄。然而，這樣的問題即使是最為基本的安全舉措也足以預(yù)防此類數(shù)據(jù)泄露問題。

與涉及Amazon服務(wù)器的大部分數(shù)據(jù)泄露事故一樣，文件暴露的具體時長并不清楚，也無法斷定在該公司發(fā)布通告之前是否有其他人士下載了相關(guān)記錄。目前尚未消息披露誰破解并泄露了這份文件。

美“HIPAA法案”對醫(yī)療數(shù)據(jù)泄露有何要求？

除了姓名、居住地址以及其它聯(lián)系信息之外，大部分記錄還包含病患的出生日期、診斷結(jié)果以及負責(zé)監(jiān)督患者護理情況的醫(yī)生姓名等醫(yī)療數(shù)據(jù)。這些皆屬于美國《健康保險流通與責(zé)任法案》（簡稱HIPAA）要求需要嚴格保護的信息范圍。

根據(jù)HIPAA提出的“違規(guī)通知規(guī)定”，醫(yī)療衛(wèi)生服務(wù)供應(yīng)方必須在“避免不合理的延誤”且“在不晚于違約事件發(fā)現(xiàn)后60天”的周期內(nèi)向這些醫(yī)療數(shù)據(jù)泄露影響到的病患發(fā)出通知。另外，如果供應(yīng)商面對超過10名聯(lián)系信息“不充分”或者已經(jīng)過期的病患，則必須以90天為周期在其官方網(wǎng)站上保留通知信息，或者立足受影響患者所在地區(qū)通過主要印刷與廣播媒體發(fā)布安全違規(guī)信息。

除此之外，HIPAA還要求服務(wù)供應(yīng)商在受影響病患超過500名的情況下，立足其所在管轄區(qū)或州通過主要媒體發(fā)布新聞報道。

ice

收藏 海報分享