การรั่วไหลของข้อมูลทางการแพทย์
ข้อมูลทางการแพทย์ ซึ่งรวมถึงข้อมูลประจำตัวของผู้ป่วย สถานะสุขภาพ การวินิจฉัยและการรักษาโรค และ ข้อมูล ทางชีวพันธุกรรมไม่เพียงแต่เกี่ยวข้องกับความเป็นส่วนตัวของผู้ป่วยเท่านั้น แต่ยังมีความละเอียดอ่อนและมีค่าสำคัญเป็นพิเศษ ซึ่งอาจก่อให้เกิดความทุกข์ทางกายและจิตใจ การสูญเสียทรัพย์สินแก่ผู้ป่วย และอาจส่งผลเสียต่อเสถียรภาพทางสังคมและความมั่นคงของชาติหากเกิดการรั่วไหล อย่างไรก็ตาม การพัฒนาและการประยุกต์ใช้AI ทางการแพทย์ต้องอาศัยข้อมูลทางการแพทย์จำนวนมากสำหรับ การฝึก อัลกอริทึมและยิ่งมีข้อมูลมากและหลากหลายมากเท่าใด ผลลัพธ์ของการวิเคราะห์และการทำนายก็จะยิ่งแม่นยำมากขึ้นเท่านั้น แต่การประยุกต์ใช้เทคโนโลยีบิ๊กดาต้า เช่น การรวบรวม การวิเคราะห์และการประมวลผลข้อมูล การจัดเก็บข้อมูลบนคลาวด์ และการแบ่งปันข้อมูล ได้เพิ่มความเสี่ยงต่อการรั่วไหลของข้อมูล ในสหรัฐอเมริกา อัตราการละเมิดดังกล่าวเพิ่มขึ้นเรื่อยๆ โดยมีข้อมูลถูกละเมิดถึง 176 ล้านรายการภายในสิ้นปี 2017 [ 1 ] [ 2 ]ภายในปี 2024 กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริการายงานการละเมิดข้อมูลด้านการดูแลสุขภาพขนาดใหญ่ 725 ครั้ง ซึ่งส่งผลกระทบต่อบันทึกข้อมูลส่วนบุคคลประมาณ 275 ล้านรายการภายในปีเดียว ซึ่งแสดงให้เห็นถึงการเพิ่มขึ้นอย่างมีนัยสำคัญทั้งในด้านความถี่และขนาดของเหตุการณ์[ 3 ]
ตลาดมืดสำหรับข้อมูลด้านสุขภาพ
ในเดือนกุมภาพันธ์ 2015 รายงาน ของ NPRอ้างว่า เครือข่าย อาชญากรรมที่จัดตั้งขึ้นมีวิธีการขายข้อมูลสุขภาพในตลาดมืด [ 1 ]
ในปี 2015 พนักงานของ Beazleyประเมินว่าเวชระเบียนสามารถขายได้ในตลาดมืดในราคา40-50 ดอลลาร์สหรัฐ[ 2 ]
ข้อมูลสูญหายได้อย่างไร
การโจรกรรม การสูญ เสียข้อมูลการแฮ็กและการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต เป็นวิธีการที่ทำให้เกิดการละเมิดข้อมูลทางการแพทย์[ 4 ]ในบรรดาการละเมิดข้อมูลทางการแพทย์ที่รายงานในสหรัฐอเมริการะบบข้อมูล เครือ ข่ายคิดเป็นจำนวนบันทึกที่ถูกละเมิดมากที่สุด[ 5 ]มีการละเมิดข้อมูลจำนวนมากเกิดขึ้นในระบบการดูแลสุขภาพของสหรัฐอเมริกา ในหมู่ผู้ร่วมธุรกิจของผู้ให้บริการด้านการดูแลสุขภาพที่เข้าถึงข้อมูลของผู้ป่วยอย่างต่อเนื่อง[ 6 ]
รายชื่อการรั่วไหลของข้อมูล
- ในเดือนกุมภาพันธ์ พ.ศ. 2567 การโจมตี ด้วยแรนซัมแวร์ต่อChange Healthcareซึ่งเป็นบริษัทในเครือของUnitedHealth Groupทำให้ข้อมูลสุขภาพที่ได้รับการคุ้มครองของบุคคลประมาณ 100 ล้านคนถูกละเมิด นับเป็นการละเมิดข้อมูลด้านการดูแลสุขภาพครั้งใหญ่ที่สุดในประวัติศาสตร์ของสหรัฐอเมริกา การโจมตีดังกล่าวทำให้การประมวลผลการเรียกร้องค่าสินไหมทดแทนสำหรับผู้ให้บริการด้านการดูแลสุขภาพทั่วประเทศหยุดชะงักเป็นเวลาหลายสัปดาห์[ 7 ] [ 8 ]
- ในเดือนพฤษภาคม พ.ศ. 2567 MediSecure ประสบกับการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับแรนซัมแวร์ในออสเตรเลีย[ 9 ] [ 10 ]
- ในเดือนพฤษภาคม พ.ศ. 2564 หน่วยงานบริหารบริการสุขภาพในสาธารณรัฐไอร์แลนด์ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับแรนซัมแวร์ ในการโจมตีทางไซเบอร์ของหน่วยงานบริหารบริการสุขภาพมีบันทึกการรับเข้าและผลการทดสอบอยู่ในตัวอย่างข้อมูลที่ตรวจสอบโดยFinancial Times [ 11 ]
- ในเดือนตุลาคม พ.ศ. 2561 ศูนย์บริการ Medicare และ Medicaidในสหรัฐอเมริการายงานว่ามีบันทึกข้อมูลส่วนบุคคลประมาณ 75,000 รายการได้รับผลกระทบจากการละเมิดข้อมูลที่เกิดขึ้นผ่านทางพอร์ทัลตัวแทนและนายหน้าACA [ 12 ]
- ในปี 2018 Social Indicators Researchได้เผยแพร่หลักฐานทางวิทยาศาสตร์เกี่ยวกับบุคคลที่ได้รับผลกระทบในสหรัฐอเมริกาจำนวน 173,398,820 คน (มากกว่า 173 ล้านคน) ตั้งแต่เดือนตุลาคม 2008 (เมื่อมีการรวบรวมข้อมูล) ถึงเดือนกันยายน 2017 (เมื่อมีการวิเคราะห์ทางสถิติ) [ 13 ]
- ในปี 2015 บริษัท Anthem Inc.สูญเสียข้อมูลของผู้คน 37 ล้านคนจากเหตุการณ์ข้อมูลรั่วไหลทางการแพทย์ของ Anthem
- ในปี 2014 ผู้ใช้งาน Complete Health Systems จำนวน 4.5 ล้านคนถูกขโมยข้อมูลส่วนตัว
- ในปี 2013-14 ข้อมูลส่วนตัวของผู้ใช้บริการกรมสาธารณสุขและบริการมนุษย์ของรัฐมอนแทนาจำนวน 1 ล้านคนถูกขโมย
- ในปี 2013 ข้อมูลส่วนตัวของผู้ใช้บริการ Advocate Health and Hospitals Corporation จำนวน 4 ล้านคนถูกขโมย
- ในปี 2011 ผู้ใช้ บริการ Tricare จำนวน 4.9 ล้านคน ถูกขโมยข้อมูลเนื่องจากความผิดพลาดของพนักงานบริษัทScience Applications International Corporation
- ในปี 2011 ข้อมูลส่วนตัวของผู้ใช้ Health Netจำนวน 1.9 ล้านคนถูกขโมย
- ในปี 2011 ผู้ใช้งาน Nemours Foundationจำนวน 1 ล้านคนถูกขโมยข้อมูลส่วนตัว
- ในปี 2010 ผู้ใช้บริการโรงพยาบาลนิวยอร์ก-เพรสไบทีเรียนและศูนย์การแพทย์มหาวิทยาลัยโคลัมเบีย จำนวน 6,800 คน ถูกละเมิดข้อมูล เพื่อเป็นการตอบสนอง องค์กรเหล่านั้นตกลงที่จะจ่าย ค่าปรับให้กับ กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกาเป็น จำนวนเงิน 4.8ล้านดอลลาร์ สหรัฐ [ 14 ]
- ในปี 2009 ผู้ใช้บริการ BlueCross BlueShield ของรัฐเทนเนสซีจำนวน 1 ล้านคนถูกขโมยข้อมูลส่วนตัว
ระเบียบข้อบังคับ
ในสหรัฐอเมริกาพระราชบัญญัติการพกพาและการรักษาความลับข้อมูลประกันสุขภาพ ( HIPAA) และพระราชบัญญัติเทคโนโลยีสารสนเทศด้านสุขภาพเพื่อเศรษฐกิจและสุขภาพทางคลินิก (HIPAA ) กำหนดให้บริษัทต่างๆ ต้องรายงานการละเมิดข้อมูลต่อบุคคลที่ได้รับผลกระทบและรัฐบาลกลาง [ 15 ] ภายใต้ กฎการแจ้งเตือนการละเมิดข้อมูล HIPAAหน่วยงานที่อยู่ภายใต้การคุ้มครองต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบโดยไม่ล่าช้าเกินควรและไม่เกิน 60 วันหลังจากค้นพบการละเมิดข้อมูลสุขภาพ ที่ได้รับการคุ้มครองซึ่งไม่มีการรักษาความปลอดภัย การละเมิดที่ส่งผลกระทบต่อบุคคล 500 คนขึ้นไปจะต้องรายงานต่อ เลขาธิการ HHSและสื่อที่มีชื่อเสียงซึ่งให้บริการในรัฐหรือเขตอำนาจศาลที่ได้รับผลกระทบภายในกรอบเวลาเดียวกัน HHS จะเปิดเผยการละเมิดขนาดใหญ่เหล่านี้ต่อสาธารณะบนพอร์ทัลการละเมิด ซึ่งโดยทั่วไปเรียกว่า "กำแพงแห่งความอัปยศ" [ 16 ]การละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 500 คนจะถูกรายงานต่อ HHS ทุกปี ไม่เกิน 60 วันหลังจากสิ้นสุดปีปฏิทินที่ค้นพบ[ 17 ] [ 18 ]
- ความเป็นส่วนตัวของข้อมูลสุขภาพพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพปี 1996 (HIPAA) - 45 CFR ส่วนที่ 160 และ 164 มาตรฐานสำหรับความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคลได้ และมาตรฐานความปลอดภัยสำหรับการคุ้มครองข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ HIPAA ประกอบด้วยบทบัญญัติที่ออกแบบมาเพื่อประหยัดค่าใช้จ่ายให้กับธุรกิจด้านการดูแลสุขภาพโดยการส่งเสริมการทำธุรกรรมทางอิเล็กทรอนิกส์ ตลอดจนข้อบังคับเพื่อปกป้องความปลอดภัยและความลับของข้อมูลผู้ป่วย กฎความเป็นส่วนตัวมีผลบังคับใช้เมื่อวันที่ 14 เมษายน 2544 และหน่วยงานที่อยู่ภายใต้การคุ้มครองส่วนใหญ่ (แผนประกันสุขภาพ ศูนย์กลางการแลกเปลี่ยนข้อมูลด้านการดูแลสุขภาพ และผู้ให้บริการด้านการดูแลสุขภาพที่ดำเนินการธุรกรรมทางการเงินและการบริหารบางอย่างทางอิเล็กทรอนิกส์) มีเวลาจนถึงเดือนเมษายน 2546 ในการปฏิบัติตาม บทบัญญัติด้านความปลอดภัยนี้มีผลบังคับใช้เมื่อวันที่ 21 เมษายน 2546 พระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ ( HIPAA ) เป็นชุดข้อบังคับของรัฐบาลกลางพื้นฐานที่ควบคุมข้อมูลทางการแพทย์ โดยมีหน้าที่สามประการ ได้แก่: iii. กำหนดโครงสร้างสำหรับวิธีการเปิดเผยข้อมูลสุขภาพส่วนบุคคล และ iv. กำหนดสิทธิของบุคคลเกี่ยวกับข้อมูลสุขภาพ ii. กำหนดมาตรฐานความปลอดภัยสำหรับการเก็บรักษาและการส่งข้อมูลผู้ป่วยทางอิเล็กทรอนิกส์ iii. จำเป็นต้องมีรูปแบบและโครงสร้างข้อมูลทั่วไปสำหรับการแลกเปลี่ยนข้อมูลสุขภาพทางอิเล็กทรอนิกส์
- กฎหมายเฉพาะของแคลิฟอร์เนีย กฎหมายคุ้มครองความเป็นส่วนตัวทางการแพทย์ของแคลิฟอร์เนีย โดยเฉพาะอย่างยิ่ง พระราชบัญญัติการรักษาความลับของข้อมูลทางการแพทย์ (CMIA) มาตราเกี่ยวกับการละเมิดข้อมูลในประมวลกฎหมายแพ่งและมาตราต่างๆ ในประมวลกฎหมายสุขภาพและความปลอดภัย ให้การคุ้มครองคล้ายกับ HIPAA แม้ว่าคำศัพท์จะแตกต่างกันก็ตาม HIPAA กำหนด "มาตรฐานขั้นต่ำ" ของรัฐบาลกลางที่ใช้ในกรณีที่มีช่องว่างในกฎหมายของแคลิฟอร์เนีย และ HIPAA ยังระบุด้วยว่ากฎหมายของรัฐที่เข้มงวดกว่าจะยกเลิกหรือแทนที่ HIPAA กฎหมายคุ้มครองความเป็นส่วนตัวด้านการดูแลสุขภาพของแคลิฟอร์เนียใช้กับผู้ให้บริการที่จัดทำบันทึกสุขภาพส่วนบุคคล (PHR) ในขณะที่ HIPAA ใช้ได้เฉพาะเมื่อผู้ให้บริการที่จัดทำ PHR เป็นหุ้นส่วนทางธุรกิจของหน่วยงานที่อยู่ภายใต้การคุ้มครองเท่านั้นกฎหมายของรัฐบาลกลางไม่ได้ให้สิทธิ์แก่บุคคลในการฟ้องร้องในกรณีที่มีการละเมิดข้อมูล (มีเพียงอัยการสูงสุดเท่านั้นที่สามารถฟ้องร้องได้) แต่กฎหมายของแคลิฟอร์เนียให้สิทธิ์นั้น ซึ่งหมายความว่ากฎหมายของแคลิฟอร์เนียกำหนดมาตรฐานที่สูงกว่าสำหรับความเป็นส่วนตัวทางการแพทย์ และบุคคลในแคลิฟอร์เนียได้รับความคุ้มครองทางกฎหมายที่แข็งแกร่งกว่าและมีวิธีการมากขึ้นในการเรียกร้องความรับผิดชอบจากหน่วยงานที่ละเมิดความเป็นส่วนตัวทางการแพทย์ของพวกเขา
- ในสหราชอาณาจักร กรอบกฎหมายเกี่ยวกับการดูแลและประมวลผลข้อมูลผู้ป่วยคือ พระราชบัญญัติคุ้มครองข้อมูลปี 2018 (Data Protection Act 2018 หรือ DPA) ซึ่งได้รวมเอาข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (GDPR) และหน้าที่รักษาความลับตามกฎหมายทั่วไป (CLDC) เข้าไว้ในกฎหมายด้วย กฎหมายคุ้มครองข้อมูลกำหนดให้การเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลต้องเป็นธรรม ชอบด้วยกฎหมาย และโปร่งใส หมายความว่า การเก็บรวบรวมและประมวลผลข้อมูลตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลจะต้องมีพื้นฐานทางกฎหมายที่ถูกต้องเสมอ และต้องเป็นไปตามข้อกำหนดของ CLDC ด้วย
- ในประเทศจีน มาตรา 18 ของ "มาตรฐานข้อมูลขนาดใหญ่ด้านการดูแลสุขภาพแห่งชาติ มาตรการรักษาความปลอดภัยและการจัดการบริการ (สำหรับการทดลองใช้)" (การวางแผนและพัฒนาสุขภาพแห่งชาติ (2018) ฉบับที่ 23) ซึ่งประกาศใช้โดยคณะกรรมการการดูแลสุขภาพแห่งชาติในปี 2018 ระบุว่า "หน่วยงานที่รับผิดชอบจะต้องใช้มาตรการต่างๆ เช่น การจำแนกประเภทข้อมูล การสำรองข้อมูลสำคัญ และการตรวจสอบความถูกต้องด้วยการเข้ารหัส เพื่อรับประกันความปลอดภัยของข้อมูลขนาดใหญ่ด้านการดูแลสุขภาพ" อย่างไรก็ตาม ขอบเขตและคำจำกัดความของข้อมูลสำคัญไม่ได้ถูกกล่าวถึง แม้ว่า "คู่มือเทคโนโลยีความปลอดภัยของข้อมูล - ความปลอดภัยของข้อมูลด้านการดูแลสุขภาพ" ("คู่มือ") ที่ออกโดยคณะกรรมการมาตรฐานแห่งชาติจะเสนอแนะว่าข้อมูลสำคัญควรได้รับการประเมินและอนุมัติตามระเบียบข้อบังคับ แต่ก็ไม่มีคำจำกัดความของความหมายและคำจำกัดความของข้อมูลสำคัญเช่นกัน
ดูเพิ่มเติม
- ความปลอดภัยของคอมพิวเตอร์ § ระบบทางการแพทย์
- ความเป็นส่วนตัวทางการแพทย์
- ข้อมูลสูญหาย
- การรั่วไหลของข้อมูล
อ่านเพิ่มเติม
- "แฮกเกอร์เตือน NHS เกี่ยวกับความปลอดภัย"บีบีซี นิวส์สหราชอาณาจักร 9 มิถุนายน 2011
- เทอร์ตัน, เดวิด (5 กุมภาพันธ์ 2016). "โรงพยาบาลอินูวิกยืนยันการรั่วไหลของข้อมูลที่อาจเกิดขึ้นจากพนักงาน" . ซีบีซี นิวส์: ภาคเหนือ . เยลโลว์ไนฟ์, นอร์ทเวสต์เทอร์ริทอรีส์
ลิงก์ภายนอก
- สำนักงานคุ้มครองสิทธิพลเมือง“การละเมิดที่ส่งผลกระทบต่อบุคคล 500 คนขึ้นไป”เว็บไซต์รายงานการละเมิดกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกาสืบค้นข้อมูลเมื่อ 17 มิถุนายน 2559