🗂 總目錄 | 📖 英文原文 | 📝 完整翻譯 | ⭐ 精華筆記(本篇)
HIPAA 法規遵循 (HIPAA compliance)
- 《健康保險可攜性與責任法案》(Health Insurance Portability and Accountability Act, HIPAA) 將個人健康資訊 (personal health information, PHI) 定義為任何受規範實體 (covered entity) 所「傳輸或保存的可識別個人之健康資訊」。因此,只要可合理連結至當事人,可識別的照片即屬此範疇。
- 全臉照片必然符合此定義;許多僅做極少編輯的照片(如曾流行用以去識別化、遮蓋雙眼的黑條)也可能仍可識別。此外,獨特或具識別性的刺青等其他特徵,即使無臉部特徵,也可能引發 HIPAA 保護的疑慮。
- 在去識別化與法規遵循上,永遠宜謹慎為上;可行時,宜採部分臉部 (partial-face) 照片而非全臉 (full-face) 照片。
- 最重要的是:應始終取得病人同意,授權記錄其可識別照片並說明照片的潛在用途。實務上,活躍於教育與發表的皮膚外科醫師可請所有病人簽署一份概括性攝影同意與授權書 (blanket photography consent and release),以免日後對個別影像可否使用產生爭議;向所有病人說明其照片可能被使用通常較容易,少數拒絕者(一般為極少數)可在病歷上加註標記以確保不拍照。
- 資料理想上應儲存於加密磁碟。Apple(使用 Filevault)與 Windows(使用 Bitlocker)電腦皆內建加密選項;外接硬碟或 USB 隨身碟等可移除媒體也可用內建軟體輕易加密。加密對筆記型電腦尤其重要——遺失或失竊且含 PHI 的筆電可能構成重大資安外洩,但若已加密,資料仍安全且不致發生 HIPAA 違規。
- 一項近期研究探討了 Mohs 手術醫師在儲存數位照片做法上的顯著差異。