醫療衛生服務企業Patient Home Monitoring（簡稱PHM）的一套Amazon S3存儲桶配置錯誤并提供公開訪問，泄露的數據包含約47.5 GB數據，共存在約31萬6千個PDF文件檔案，根據上個月安全研究人員們的在線調查結果，預計約美國15萬患者的姓名、地址、醫生和病例紀錄以及周常血液檢查結果等敏感隱私信息。

這些文件與Patient Home Monitoring Corporation（簡稱PHM）這家醫療衛生服務企業有關，該公司專門為美國患者提供家庭監測與疾病管理服務。

來自Kromtech安全中心的研究人員們發現的這批記錄被存儲在一套未經保護的Amazon S3存儲桶內。Kromtech方面表示，這些泄露的文件可供公開訪問且未受密碼保護。

今年9月29日改數據泄露事件被首次發現，Krometch安全研究員Bob Diachenko（鮑勃·迪亞琴科）隨即向Gizmodo（一個美國科技博客）作出報告。

10月5日，PHM方面發布警告，指出歸屬于該公司的敏感醫療記錄確已遭到外泄。同一天，該Amazon S3存儲桶亦被保護起來。然而，PHM方面并沒有對Kromtech提出的查詢請求給予回應。

Amazon S3存儲桶配置錯誤導致數據泄露

Kromtech公司戰略聯盟副總裁Alex Kernishniuk（亞歷克斯·柯尼什紐克）指出，“這套Amazon存儲庫存在配置錯誤，導致其可供公開訪問，任何接入互聯網的人士皆可訪問這些保密醫療記錄。然而，這樣的問題即使是最為基本的安全舉措也足以預防此類數據泄露問題。”

與涉及Amazon服務器的大部分數據泄露事故一樣，文件暴露的具體時長并不清楚，也無法斷定在該公司發布通告之前是否有其他人士下載了相關記錄。根據Kromtech方面的說法，這些記錄與今年夏季進行的醫療測試有關。

Gizmodo方面審查的泄露記錄之一顯示，一名居住在田納西州的患者被診斷患有心房纖維性顫動，屬于一種嚴重疾病，具體癥狀包括心跳異常（心律不齊），已知可能導致心臟衰竭、中風以及多種其它嚴重健康風險。記錄顯示，該患者一直在接受一系列家庭內血液檢測，旨在及時向醫生報告血塊以及由血液稀釋藥物所引發的意外內出血等問題。

美“HIPAA法案”對醫療數據泄露有何要求？

除了姓名、居住地址以及其它聯系信息之外，大部分記錄還包含病患的出生日期、診斷結果以及負責監督患者護理情況的醫生姓名。這些皆屬于美國《健康保險流通與責任法案》（簡稱HIPAA）要求需要嚴格保護的信息范圍。

PHM作為相關實體，有責任遵循法律規定以制定并實施政策與規程，從而確保其“創建、接收、維護或者傳輸”的任何電子健康信息（簡稱ePHI）受到嚴格保護。

通報患者要求

根據HIPAA提出的“違規通知規定”，醫療衛生服務供應方必須在“避免不合理的延誤”且“在不晚于違約事件發現后60天”的周期內向數據泄露影響到的病患發出通知。另外，如果供應商面對超過10名聯系信息“不充分”或者已經過期的病患，則必須以90天為周期在其官方網站上保留通知信息，或者立足受影響患者所在地區通過主要印刷與廣播媒體發布安全違規信息。

除此之外，HIPAA還要求服務供應商在受影響病患超過500名的情況下，立足其所在管轄區或州通過主要媒體發布新聞報道。

對服務供應商的罰款標準

HIPAA還會對安全違規行為進行經濟處罰。如果服務供應商有合理理由而未能確定發生安全違規情況的原因，則單次事故的罰款可能低至100美元；但在極端情況一，例如服務供應商被發現存在“故障忽視”的行為，則每次違規行為的年罰款可高達150萬美元（約合人民幣988萬元）。

Kromtech方面此前一直在披露數據泄露事故，同時協助相關方保護受到影響的醫療衛生信息。今年早些時候，該公司在網絡上發現數萬條（總量甚至可能達到數百萬條）醫療記錄，其歸屬于紐約布朗克斯-黎巴嫩中心醫院。這些記錄中包含廣泛的且高度敏感的病患文件，例如因化學品成癮而入院的病患的登記資料。該公司目前已提供免費軟件設計服務，可幫助各企業了解其Amazon存儲桶是否安全。

美國對醫療數據的保護欠佳

美國擁有著一套幾乎從任何角度來講都成本高昂但卻效率低下的醫療衛生系統。復雜的保險規則與扭曲的市場信號令效率一路走低，沮喪的患者與服務供應方因為大量文書工作的壓力而備感困擾。

而盡管數字記錄與病患家庭監控確實能夠有效提升相關效率，但對醫療數據的保護無疑是一件需要加以高度重視的優先事項。