Montefiore醫療中心HIPAA安全規則違規和解

美國衛生與公眾服務部（Department of Health and Human Services, HHS）民權辦公室（Office for Civil Rights, OCR）最近與紐約市 Montefiore Medical Center 就涉嫌違反《健康保險流通與責任法案》（Health Insurance Portability and Accountability Act, HIPAA）達成475 萬美元的和解協議。

調查發現，Montefiore Medical Center存在多項違反 HIPAA 的行為，包括：

• 未能分析和識別受保護健康資訊（Protected health information, PHI）的潛在風險和漏洞
• 未能監控和保護其健康資訊系統
• 未能實施記錄和追蹤活動的政策和程序
• 由於缺乏這些保障措施，Montefiore Medical Center 無法阻止網路攻擊，甚至無法及時發現攻擊。

根據和解協議，Montefiore Medical Center 將向 OCR 支付 475 萬美元罰款，並採取以下糾正措施：

• 對電子 PHI 的機密性、完整性和可用性進行全面風險評估
• 制定書面風險管理計劃，以解決和減輕風險
• 實施技術和程序機制，記錄和追蹤包含或使用電子 PHI 的所有資訊系統中的活動
• 審查和修訂書面政策和程序，以符合 HIPAA
• 向員工提供 HIPAA 政策和程序培訓

而 OCR 將對Montefiore Medical Center 進行兩年監控，以確保其遵守相關規定。