健康保險流通與責任法案 (HIPAA) & 狀況資訊技術以實現經濟和臨床健康情況 (高科技) 法案

HIPAA 和高科技法案概述

1996 (HIPAA 的健康保險流通與責任法案) 及 HIPAA 所發行的規章,都是一組美國的醫療保健法律,可設定對使用、披露及保護個別身分識別健康資訊的需求。 HIPAA 的範圍已擴充,enactment 的狀況資訊技術是經濟和臨床健康情況 (高科技) 法案 in 2009。

HIPAA 適用于涵蓋的實體 (具體地說、保健服務提供者、健康情況計畫及衛生保健 clearinghouses) ,可建立、接收、維護、傳送或存取患者的受保護健康情況資訊 (PHI) 。 HIPAA 進一步適用于涵蓋之實體的商業夥伴,可執行某些職能或活動(包括 PHI)做為涵蓋的實體或代表涵蓋的實體提供服務的一部分。

當涵蓋的實體參與雲端服務提供者(如 Microsoft)的服務時,雲端服務提供者將會成為 HIPAA 的業務關聯。 此外,當 business 關聯 subcontracts 與雲端服務提供者建立、接收、維護或傳送 PHI 時,雲端服務提供者也會變成業務關聯。

Microsoft、HIPAA 和高科技法案

HIPAA 法規要求涵蓋的實體 (定義的規則) 輸入與業務相關的合約,以確保 PHI 受到充分保護。 這種合約稱為「業務關聯」合約。 除了其他事項之外,業務關聯協定也會根據各方與業務關聯所執行的活動或服務之間的關係,,依業務關聯性,建立允許和必要的使用和披露的 PHI。 若要支援我們的客戶在使用 Microsoft 企業版產品和服務時遵循 HIPAA,Microsoft 會向涵蓋的實體和業務關聯客戶輸入業務關聯協定。

目前沒有由健康情況和人力服務部門核准的憑證標準,用以示範業務相關的 HIPAA 或高科技法案的相容性。 不過,Microsoft 可讓客戶遵循 HIPAA 和高科技法案,並遵守 HIPAA 的安全性規則需求,以成為業務關聯。 此外,Microsoft 會輸入業務關聯協定與其涵蓋的實體和業務關聯性客戶,以支援 HIPAA 義務。

協力廠商認證

BAA 所涵蓋的 Microsoft 服務,已完成 HITRUST 的獨立審計員針對 Microsoft ISO/IEC 27001 認證和 CSF 憑證進行的審計。

Microsoft enterprise 雲端服務也涵蓋 FedRAMP 評估。 Microsoft Azure 和 Microsoft Azure 政府收到臨時授權,以從 FedRAMP 的聯合授權板進行操作;Microsoft Dynamics 365 美國政府收到一部代理商機關,以供來自《美國」的《美國政府部門的健康情況和人力服務」之公司的 Microsoft Office 365 美國政府運作。

若要瞭解 Microsoft Cloud 如何協助客戶支援 HIPAA 和高科技需求,請造訪 Microsoft 客戶案例

Microsoft 範圍內雲端平台與服務

  • Azure 和 Azure Government
  • Azure DevOps Services
  • Dynamics 365 和 Dynamics 365 美國政府
  • Intune
  • Microsoft 雲端應用程式安全性
  • Microsoft 保健 Bot 服務
  • Microsoft 受管理的電腦
  • Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
  • Office 365,Office 365 美國政府
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務做為獨立服務,或是包含在 Office 365 或 Dynamics 365 品牌計畫或套件中。

Azure、Dynamics 365 和 HIPAA

如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE HIPAA 服務

Office 365 和 HIPAA

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Access Online,Azure Active Directory,Azure 通訊服務,合規性管理員,客戶加密箱,Delve,Exchange Online,Forms,Griffin,Identity Manager,密碼箱 (圓環) ,Microsoft Defender for Office 365,Microsoft Teams,MyAnalytics,Office 365 進階合規性附加元件、Office 365 客戶入口網站 Office 365 Microservices (包括但不限於 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint 線上檔服務、查詢批註服務學校資料同步處理,Siphon,Speech,StaffHub,可擴展的應用程式) ,Office 365 安全性 & 規範中心,Office 線上,Office Pro 加,Office 服務基礎結構,商務用 OneDrive,Planner,PowerApps,Power BI,Project Online,使用客戶金鑰的服務加密,SharePoint 線上,商務用 Skype,資料流程
GCC Azure Active Directory、Azure Communications Service、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream

常見問題集

我的組織可以使用 Microsoft 進入 BAA 嗎?

是。 Microsoft 提供其涵蓋的實體與業務關聯客戶與範圍 Microsoft 服務相關的業務關聯合約。

根據預設,您可以透過 Microsoft Online Services 資料保護附錄,將 MICROSOFT HIPAA 商務協會合約 提供給所有在 HIPAA 底下已涵蓋實體或業務關聯的客戶。 請參閱此網頁上的「Microsoft in 範圍內的雲端服務」,以取得此 BAA 所涵蓋的雲端服務清單。

HIPAA 業務關聯協定也適用于範圍內的 Microsoft Professional 服務。 如需詳細資訊,請與您的 Microsoft 服務代表聯繫。

與 Microsoft 建立業務關聯的合約是否可確保我的組織符合 HIPAA 和高科技法案?

否。 透過提供一種業務關聯合約,Microsoft 可協助支援您的 HIPAA 法規遵從性。 不過,使用 Microsoft 服務不會自行取得 HIPAA 規範。 您的組織負責確保您已具備適當的規範方案和內部程式,而且您的 Microsoft 服務的特殊用途,會與 HIPAA 和高科技法案的義務相符。

Microsoft 是否可以使用我組織的業務關聯協定?

否,Microsoft 無法使用客戶的業務關聯協定。 因為我們提供超大型,為我們所有客戶都標準化的多承租人服務,所以我們必須以一致的方式運作。 Microsoft HIPAA 業務關聯合約緊密反映我們的運作方式。 因此,為了滿足醫療保健行業的需求,Microsoft 與醫療保健中的學術醫療中心與其他公開和私營部門實體共同合作,以建立與我們的規模服務選項相符的 Business 關聯合約,並符合客戶的需求。

如何取得協力廠商的審計報告複本?

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求審核報告,讓審計員能夠與您自己的法律和法規需求比較 Microsoft 的雲端服務結果。 Azure 客戶也可以透過 Azure Security Center 中的「審核報告」刀片,在 azure 入口網站中取得 azure 憑證及審核報告。

如何深入瞭解 Microsoft 如何支援 HIPAA 和高科技法案的相容性?

為了協助客戶執行這項工作,Microsoft 已發佈下列指南:

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源