HIPAA & GLBA

許多資訊安全產品，除了通過實驗室或認證單位的效能與功能測試，還會強調產品已經通過HIPAA（Health Insurance Portability and Accountability Act，醫療保險攜帶和責任法案）與GLBA（Gramm-Leach-Bliley Financial Modernization Act，Gramm-Leach-Bliley金融現代化法案）安全認證，其實這兩種認識都是美國用來保障消費者的隱私權。HIPAA

大家應該都有看過病，看過醫生在紙上寫醫囑，但隨著時代進步，許多醫生已經改用電腦寫醫囑，病患的檢驗報告、用藥和疾病史等醫療記錄，都可以從電腦系統中取得。

問題來了，要如何安全又有效率的管理這些資料，並且還能保障病患隱私權？之前在健保局的網站上，可以查到病患的用藥資料，就是一個很嚴重的問題。美國在1996年8月，正式簽署HIPAA法案，要求醫療單位採用標準的資料格式與和傳輸方式，讓病患的電子醫療記錄能夠跟原先的紙張記錄一樣安全，甚至更好。

HIPAA的資訊安全標準主要可區分為電子資料交換（EDI）及密碼設定組（Code Set）兩部分，雖然沒有規定搜集或傳輸醫療記錄的方式，但是它有訂出特定事務的標準，例如，系統必須知道有哪些人曾經檢閱、存取或傳輸過醫療記錄。法案也規定各個醫療單位要制定完整的安全政策，並對員工進行教育訓練，以便他們能夠確實遵守與維護相關規定。GLBA

電子化後，金融業的問題也是多的數不完，網路銀行被盜領、帳戶資料被竊取、網路銀行該有哪些功能、利率期貨……等。美國在1999年通過的GLBA法案，就涵蓋金融業的許多問題，包括金融機構的聯營關係、資料儲存系統及各項業務功能。

在隱私權方面，GLBA要求所有金融機構向客戶公開隱私權保護政策和措施，而且每年要對這些保密措施進行一次評估（例如滲透測試），以防客戶資料被竊取，不過，GLBA予許業者將資料分享給相關組織（子公司、合作夥伴）。與HIPAA相同，金融機構不能單只是表現出它正在保護客戶的隱私，還要能夠證明它的員工有能力完成這項工作，教育訓練自然是不能少。

根據Grant Thornton LLP的調查，GLBA成功地加速金融業在之後的3年內，採用各種網路技術（網路銀行、網路下單），同時也促進銀行、保險及證券業者之間的整合。

許多企業都說要提高資訊安全，卻不知道要遵守什麼樣的標準，該完成哪些項目，HIPAA和GLBA是美國醫療單位和金融業的資訊安全認證標準，或是最近熱門的BS 7799，都值得你去參考。文⊙陳世煌