健康保險可移植性和責任法案 (HIPAA) & Health Information Technology for Economic and Clinic Health (HITECH) Act

HIPAA 和 HITECH Act 概觀

1996年健康保險可移植性和責任法案 (HIPAA) 和 HIPAA 下所發出的法規,都是一組美國醫療保健法,可建立個別識別健康資訊的使用、揭露和保護需求。 HIPAA 的範圍是透過 2009 年《適用於經濟與臨床健康情況的健全狀況資訊技術 (HITECH) 法》的制定而擴充。

HIPAA 適用於涵蓋的實體 (,特別是醫療保健提供者、健康方案和醫療保健清除庫,) 建立、接收、維護、傳輸或存取 PHI) (患者受保護的健康情況資訊。 HIPAA 進一步適用於涵蓋實體的業務夥伴,這些實體會執行涉及 PHI 的特定功能或活動,以提供服務給涵蓋的實體或代表涵蓋的實體。

當涵蓋的實體與 Microsoft 等雲端服務提供者的服務互動時,雲端服務提供者會是 HIPAA 下的業務夥伴。 此外,當企業將轉包與雲端服務提供者建立、接收、維護或傳輸 PHI 建立關聯時,雲端服務提供者也會成為業務夥伴。

Microsoft、HIPAA 和 HITECH 法案

HIPAA 法規要求涵蓋 (在規則下定義的實體) 與業務夥伴簽訂合約,以確保 PHI 受到充分保護。 此合約稱為「業務關聯合約」。 此外,商務夥伴合約會根據合作對象與業務夥伴所執行的活動或服務之間的關聯性,建立 PHI 的允許和必要用途和揭露。 為了支持客戶在使用 Microsoft 企業產品和服務時符合 HIPAA 規範,Microsoft 將與其涵蓋的實體和業務關聯客戶輸入商務關聯協定。

目前沒有任何由健康與人類服務部門核准的認證標準,可示範與 HIPAA 或商務夥伴的 HITECH Act 相容。 不過,Microsoft 可讓客戶符合 HIPAA 和 HITECH 法案的規範,並遵循 HIPAA 作為業務夥伴容量的安全性規則需求。 此外,Microsoft 會與其涵蓋的實體和業務關聯客戶輸入商務關聯協定,以支援其遵守 HIPAA 義務。

第三方認證

BAA 所涵蓋的 Microsoft 服務已通過經認證的獨立稽核員進行稽核,以取得 Microsoft ISO/IEC 27001 認證和 HITRUST CSF 認證。

FedRAMP 評量也會涵蓋 Microsoft 企業雲端服務。 Microsoft Azure 和 Microsoft Azure Government 收到由 FedRAMP 聯合授權委員會運作的臨時授權單位;Microsoft Dynamics 365 美國政府已收到美國房屋和城市開發部門運作的機構授權單位,如同 Microsoft Office 365 美國政府從美國健全狀況與人類服務部門執行一樣。

若要瞭解 Microsoft Cloud 如何協助客戶支援 HIPAA 和 HITECH 需求,請造訪 Microsoft 客戶案例

Microsoft 範圍內雲端平台與服務

  • Azure 和 Azure Government
  • Azure DevOps Services
  • Dynamics 365 和 Dynamics 365 美國政府
  • Intune
  • Microsoft 雲端 App 安全性
  • Microsoft Defender 搜補專家 (線上服務 元件)
  • Microsoft Defender XDR (線上服務 元件) 專家
  • Microsoft Healthcare Bot Service
  • Microsoft 受管理的電腦
  • Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
  • Office 365,Office 365 美國政府
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務可作為獨立服務,或包含在 Office 365 或 Dynamics 365 品牌化方案或套件中
  • Windows 365

Azure、Dynamics 365 和 HIPAA

如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure HIPAA 供應專案

Office 365和 HIPAA

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online、Forms、Marketplace、Identity Manager、Lockbox (Torus) 、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online 檔服務、查詢註釋服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、Office Services 基礎結構、商務用 OneDrive、Planner、PowerApps、Power BI、Project Online、使用 Microsoft Purview 客戶密鑰的服務加密、SharePoint Online、商務用 Skype、Stream
GCC Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream

常見問題集

我的組織可以使用 Microsoft 輸入 BAA 嗎?

是的。 Microsoft 為其涵蓋的實體和業務關聯客戶提供涵蓋範圍內 Microsoft 服務的商務夥伴合約。

根據預設, Microsoft HIPAA 商務關聯合約 是透過 Microsoft Online Services 數據保護增補條款提供給 HIPAA 下涵蓋實體或業務關聯的所有客戶。 如需此 BAA 涵蓋的雲端服務清單,請參閱此網頁上的「Microsoft 範圍內的雲端服務」。

HIPAA 商務夥伴合約也適用於範圍內的 Microsoft 專業服務。 如需詳細資訊,請連絡您的 Microsoft 服務代表。

與 Microsoft 簽訂商務關聯合約,是否可確保我的組織符合 HIPAA 和 HITECH 法案?

不能。 藉由提供商務夥伴合約,Microsoft 可協助支援您的 HIPAA 合規性。 不過,使用 Microsoft 服務本身並不會達到 HIPAA 合規性。 您的組織負責確保您已備妥適當的合規性計劃和內部程式,而且您對 Microsoft 服務的特殊使用符合您在 HIPAA 和 HITECH Act 下的義務。

Microsoft 是否可以使用組織的商務夥伴合約?

否,Microsoft 無法使用客戶的商務夥伴合約。 由於我們為所有客戶提供標準化的超大規模、多租用戶服務,因此必須以一致的方式運作。 Microsoft HIPAA 商務夥伴合約會密切反映我們的運作方式。 因此,為了滿足醫療保健產業的需求,Microsoft 與學術醫療中心聯盟和醫療保健內的其他公用和私人部門實體共同作業,以建立符合我們規模服務供應專案的商務關聯合約,並符合客戶的需求。

如何取得第三方稽核報告的複本?

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求稽核報告,讓稽核員可以比較 Microsoft 的雲端服務結果與您自己的法律和法規需求。 Azure 客戶也可以透過雲端 Microsoft Defender 中的 [稽核報告] 刀鋒視窗,在 Azure 入口網站 中擷取 Azure 憑證和稽核報告。

如何深入瞭解 Microsoft 如何支援 HIPAA 和 HITECH Act 的合規性?

為了協助客戶完成這項工作,Microsoft 已發佈此指引:

  • 適用於 Azure 隱私權、安全性和合規性人員的 HIPAA/HITECH Act 實作指導方針,以及負責 HIPAA 和 HITECH Act 實作的其他人員,說明貴組織可採取的具體步驟來維護合規性。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源