共用方式為


健康保險可移植性和責任法案 (HIPAA) & Health Information Technology for Economic and Clinic Health (HITECH) Act

HIPAA 和 HITECH Act 概觀

1996年健康保險可移植性和責任法案 (HIPAA) 和 HIPAA 下所發出的法規,都是一組美國醫療保健法,可建立個別識別健康資訊的使用、揭露和保護需求。 HIPAA 的範圍是透過 2009 年《適用於經濟與臨床健康情況的健全狀況資訊技術 (HITECH) 法》的制定而擴充。

HIPAA 適用於涵蓋的實體 (,特別是醫療保健提供者、健康方案和醫療保健清除庫,) 建立、接收、維護、傳輸或存取 PHI) (患者受保護的健康情況資訊。 HIPAA 進一步適用於涵蓋實體的業務夥伴,這些實體會執行涉及 PHI 的特定功能或活動,以提供服務給涵蓋的實體或代表涵蓋的實體。

當涵蓋的實體與雲端服務提供者的服務互動時,例如Microsoft,雲端服務提供者會是 HIPAA 下的業務關聯。 此外,當企業將轉包與雲端服務提供者建立、接收、維護或傳輸 PHI 建立關聯時,雲端服務提供者也會成為業務夥伴。

Microsoft、HIPAA 和 HITECH Act

HIPAA 法規要求涵蓋 (在規則下定義的實體) 與業務夥伴簽訂合約,以確保 PHI 受到充分保護。 此合約稱為「業務關聯合約」。 此外,商務夥伴合約會根據合作對象與業務夥伴所執行的活動或服務之間的關聯性,建立 PHI 的允許和必要用途和揭露。 為了支持客戶在使用Microsoft企業產品和服務時符合 HIPAA 規範,Microsoft會與其涵蓋的實體和業務關聯客戶輸入商務關聯協定。

目前沒有任何由健康與人類服務部門核准的認證標準,可示範與 HIPAA 或商務夥伴的 HITECH Act 相容。 不過,Microsoft可讓客戶符合 HIPAA 和 HITECH 法案的規範,並遵循 HIPAA 作為業務夥伴容量的安全性規則需求。 此外,Microsoft與其涵蓋的實體和業務關聯客戶輸入商務關聯協定,以支援其遵守 HIPAA 義務。

第三方認證

BAA 所涵蓋的Microsoft服務已經過認證的獨立稽核員進行稽核,以取得Microsoft ISO/IEC 27001 認證,以及 HITRUST Common Security Framework (CSF) 認證。

Microsoft FedRAMP 評定也會涵蓋企業雲端服務。 Microsoft Azure 和 Microsoft Azure Government收到可從 FedRAMP 聯合授權委員會運作的臨時授權單位;Microsoft Dynamics 365美國政府收到美國房屋和城市開發部門運作的機構授權單位,如同 Microsoft Office 365 美國政府從美國健全狀況與人力資源部門執行一樣。

若要瞭解Microsoft雲端如何協助客戶支援 HIPAA 和 HITECH 需求,請流覽Microsoft客戶案例。

Microsoft 範圍內雲端平台與服務

  • Azure 和 Azure Government
  • Azure DevOps Services
  • Dynamics 365 和 Dynamics 365 美國政府
  • Intune
  • Microsoft Copilot for Security
  • Microsoft 雲端 App 安全性
  • Microsoft Defender 搜補專家
  • Microsoft Defender XDR 專家
  • Microsoft Healthcare Bot Service
  • Microsoft 受管理的電腦
  • Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
  • Office 365,Office 365 美國政府
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務可作為獨立服務,或包含在 Office 365 或 Dynamics 365 品牌化方案或套件中
  • Windows 365

Azure、Dynamics 365 和 HIPAA

如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure HIPAA 供應專案

Office 365和 HIPAA

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online、Forms、Identity Manager、Lockbox (Torus) 、Microsoft 365 Copilot、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online 檔服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services Infrastructure、商務用 OneDrive、Planner、PowerApps、Power BI、Project Online、Microsoft Purview 客戶密鑰的服務加密、SharePoint Online、商務用 Skype、Stream
GCC Microsoft Entra ID、Azure 通訊服務、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream

常見問題集

我的組織可以使用 Microsoft 輸入 BAA 嗎?

是。 Microsoft提供涵蓋的實體和商務關聯客戶商務關聯合約,其中涵蓋範圍內Microsoft服務。

根據預設,Microsoft在線服務數據保護增補條款可向 HIPAA 下涵蓋實體或業務關聯的所有客戶,取得 Microsoft HIPAA 商業 關聯合約。 See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

HIPAA 商務夥伴合約也適用於專業服務Microsoft範圍內。 如需詳細資訊,請連絡Microsoft服務代表。

與Microsoft建立業務關聯協定,是否可確保我的組織符合 HIPAA 和 HITECH 法案?

不能。 藉由提供商務夥伴合約,Microsoft可協助支援 HIPAA 合規性。 不過,使用Microsoft服務本身並無法達到 HIPAA 合規性。 您的組織負責確保您已備妥適當的合規性計劃和內部程式,而且您特別使用Microsoft服務,符合您在 HIPAA 和 HITECH Act 下的義務。

是否Microsoft使用組織的商務夥伴合約?

否,Microsoft無法使用客戶的商務夥伴合約。 因為我們為所有客戶提供標準化的超大規模、多租用戶服務,所以必須以一致的方式運作。 MICROSOFT HIPAA 業務關聯合約會密切反映我們的運作方式。 因此,為了滿足醫療保健產業的需求,Microsoft與學術醫療中心聯盟和醫療保健內的其他公用和私人部門實體共同作業,以建立符合我們規模服務供應專案的業務關聯合約,並符合客戶的需求。

如何取得第三方稽核報告的複本?

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求稽核報告,讓稽核員可以比較Microsoft的雲端服務結果與您自己的法律和法規需求。 Azure 客戶也可以透過雲端 Microsoft Defender 中的 [稽核報告] 刀鋒視窗,在 Azure 入口網站 中擷取 Azure 憑證和稽核報告。

如何深入瞭解Microsoft如何支援 HIPAA 和 HITECH Act 的合規性?

為了協助客戶完成這項工作,Microsoft已發佈此指引:

  • 適用於 Azure 隱私權、安全性和合規性人員的 HIPAA/HITECH Act 實作指導方針,以及負責 HIPAA 和 HITECH Act 實作的其他人員,說明貴組織可採取的具體步驟來維護合規性。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源