美國醫療資訊保護法規之初探－－以HIPAA/HITECH之隱私規則與資安規則為中心

Medical Information Protection Law in U.S.: the Rule and Security Rule of HIPAA/HITECHPrivacy

我國個人資料保護法乃參考歐盟個人資料保護指令而制定或修改，但國內對於美國的個人資料保護方式並不熟悉。本文之目的，在於研究美國聯邦對個人資料保護方面立法之方式。美國目前並無統一的個人資料保護法，而是針對個別領域制定個別的個資法。其中，在醫療資訊方面，1996年的健康保險可攜式及責任法（Health Insurance Portability and Accountability Act of 1996）授權美國健康人類服務部，制定相關的行政命令。2003年，其制定了隱私規則與資安規則。本文介紹該二規則之重要內容。此外，2009 年時，美國又通過HITECH法，修正了隱私規則，加強其執法力道。本文也將透過案例，說明美國醫療資訊保護立法的缺陷，簡單比較與歐盟模式之不同。

The purpose of this article is to understand the contours of the most important of the U.S. federal healthcare privacy statutes; the Health Insurance Portability and Accountability Act of 1996, as amended; and regulations issued under it (collectively, HIPAA). To implement HIPAA, the U.S. Department of Health and Human Services ('HHS') published the 'Standards for Privacy of Individually Identifiable Health Information' (the 'Privacy Rule') and the 'Security Standards for the Protection of Electronic Protected Health Information' (the 'Security Rule'). Both the Privacy Rule and the Security Rule include important compliance deadlines for entities subject to HIPAA. Finally, this article will use some representative cases to introduce the real enforcement of the privacy rule.