HIPAA 與 HITECH 法案概述
1996年《健康保險攜帶與責任法案》(HIPAA) (HIPAA 下發布的相關法規,是一套美國醫療保健法律,規定了使用、揭露及保護個人可識別健康資訊的要求。 2009年《經濟與臨床健康健康資訊科技 (HITECH) 法案》的頒布,擴大了HIPAA的適用範圍。
HIPAA 適用於受規範實體 (特別是醫療提供者、健康計劃及醫療資訊中心) ,這些機構會建立、接收、維護、傳輸或存取患者受保護的健康資訊 (PHI) 。 HIPAA進一步適用於受保護實體的業務夥伴,這些人在為受保護實體提供服務或代表受保護實體時,執行涉及PHI的特定職能或活動。
當受規範實體與雲端服務提供者(如 Microsoft)合作時,該雲端服務提供者根據 HIPAA 即為商業夥伴。 此外,當商業夥伴與雲端服務供應商分包建立、接收、維護或傳輸 PHI 時,該雲端服務提供者也會成為商業夥伴。
Microsoft、HIPAA 與 HITECH 法案
HIPAA 規定規定,規則下 (定義的受保護實體) 與業務夥伴簽訂協議,以確保 PHI 受到充分保護。 此協議稱為商業夥伴協議。 商業夥伴協議(Business Associate Agreement)規定了商業夥伴根據雙方與業務夥伴所執行的活動或服務之間的關係,允許且必須使用及揭露PHI的行為。 為協助客戶在使用 Microsoft 企業產品與服務時遵守 HIPAA,Microsoft 與其受保護實體及業務夥伴客戶簽訂商業夥伴協議。
目前衛生與公共服務部尚未核准任何認證標準,以證明業務夥伴符合HIPAA或HITECH法案。 然而,Microsoft 協助客戶遵守 HIPAA 及 HITECH 法案,並以商業夥伴身份遵守 HIPAA 的安全規則要求。 此外,Microsoft 與其受保護實體及業務夥伴客戶簽訂商業夥伴協議,以協助其遵守 HIPAA 義務。
第三方認證
BAA涵蓋的Microsoft服務,皆由認可的獨立稽核員進行Microsoft ISO/IEC 27001認證及HITRUST共同安全框架 (CSF) 認證的審核。
Microsoft 企業雲端服務也包含在 FedRAMP 評估範圍內。 Microsoft Azure 與 Microsoft Azure Government 獲得 FedRAMP 聯合授權委員會的臨時營運權限;Microsoft Dynamics 365 美國政府獲得美國住房與城市發展部的機構操作授權,Microsoft Office 365 美國政府則獲得美國衛生與公共服務部的授權。
欲了解 Microsoft Cloud 如何協助客戶支援 HIPAA 及 HITECH 要求,請造訪 Microsoft 客戶故事。
Microsoft 範圍內的雲端平台與服務
- Azure 和 Azure Government
- Azure DevOps Services
- Dynamics 365 和 Dynamics 365 美國政府
- Intune
- Microsoft Copilot for Security
- Microsoft Defender for Cloud Apps
- Microsoft Defender 狩獵專家
- Microsoft Defender XDR 專家
- Microsoft Healthcare Bot Service
- Microsoft 受管理的電腦
- Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
- Office 365,Office 365 美國政府
- Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- Power BI 雲端服務可作為獨立服務,或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- Windows 365
Azure、Dynamics 365 同 HIPAA
欲了解更多關於 Azure、Dynamics 365 及其他線上服務合規的資訊,請參閱 Azure HIPAA 服務。
Office 365 與 HIPAA
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 線上存取、Microsoft Entra ID、Azure通訊服務、合規管理、客戶鎖箱、Delve、Exchange Online、表單、Griffin、Identity Manager、鎖箱 (環) 、Microsoft 365 Copilot,Microsoft 365 Copilot Chat、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口網站、Office 365 客戶入口網站微服務 (包括但不限於 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint 線上文件服務、查詢註解服務、學校資料同步、Siphon、語音、StaffHub、可擴展應用程式程式) 、Office 365安全 & 合規中心、Office Online、Office Pro Plus、Office Services Infrastructure、商務用 OneDrive、規劃工具、PowerApps、Power BI、Project Online、Microsoft Purview 客戶金鑰服務加密、SharePoint Online、商務用 Skype、Stream |
| GCC | Microsoft Entra ID、Azure 通訊服務、合規管理、Delve、Exchange Online、Forms、Microsoft 365 Copilot、Microsoft 365 Copilot Chat,Microsoft Defender 用於 Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性 外掛、Office 365 安全 & 合規中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner 等PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
常見問題集
我的組織可以與 Microsoft 簽訂 BAA 協議嗎?
是。 Microsoft 向其涵蓋實體及業務夥伴客戶提供業務夥伴協議,涵蓋 Microsoft 範圍內的服務。
Microsoft HIPAA 業務夥伴協議預設透過 Microsoft 線上服務資料保護附錄,提供給所有受 HIPAA 涵蓋實體或業務夥伴的客戶。 請參閱本網頁上的「Microsoft 範圍內雲端服務」,以了解本 BAA 涵蓋的雲端服務清單。
HIPAA 業務夥伴協議亦適用於 Microsoft 專業服務的適用範圍。 如需更多資訊,請聯絡您的 Microsoft 服務代表。
與 Microsoft 簽訂商業夥伴協議是否能確保我的組織遵守 HIPAA 及 HITECH 法案?
不能。 透過提供商業夥伴協議,Microsoft 協助支持您的 HIPAA 合規。 然而,單靠使用 Microsoft 服務並不足以達成 HIPAA 合規。 您的組織有責任確保您擁有完善的合規計畫與內部流程,並且您對 Microsoft 服務的具體使用符合您在 HIPAA 及 HITECH 法案下的義務。
Microsoft 可以使用我組織的商業夥伴協議(Business Associate Agreement)嗎?
不,Microsoft 不能使用客戶的商業夥伴協議。 由於我們提供標準化的超大規模多租戶服務,必須以一致的方式運作。 Microsoft HIPAA 業務夥伴協議與我們的運作方式密切相關。 因此,為了滿足醫療產業的需求,Microsoft 與一個由學術醫療中心及其他公私部門單位組成的聯盟合作,制定了一份商業夥伴協議,以符合我們的規模服務並提供並滿足客戶需求。
我該如何取得第三方稽核報告的副本?
服務信任入口網站提供獨立稽核的合規性報告。 您可以利用這個入口網站申請稽核報告,讓您的稽核人員能將 Microsoft 的雲端服務結果與您自己的法律及法規要求進行比較。 Azure客戶也可以透過雲端Microsoft Defender中的審計報告刀片,在Azure 入口網站中取得Azure憑證與稽核報告。
我該如何進一步了解 Microsoft 如何支持遵守 HIPAA 及 HITECH 法案?
為了協助客戶完成此任務,Microsoft 發布了以下指引:
- 針對隱私、安全與合規官員及其他負責 HIPAA 和 HITECH 法案實施的 Azure HIPAA/HITECH 法案實施指引,說明了您的組織可採取的具體措施以維持合規。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理員 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規態勢並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。