HIPAA & AI Compliance

Overview

《健康保險可攜性和責任法》（HIPAA）是美國管理受保護健康資訊（PHI）隱私和安全的主要聯邦法律。該法於 1996 年頒布，並透過《健康資訊科技促進經濟和臨床健康法》（HITECH）及後續規則持續更新，HIPAA 為個人可識別健康資訊的保護建立了國家標準。對於在醫療保健領域開發 AI 的組織而言，HIPAA 合規不是可選的——違規處罰從每次違規 100 美元到 50,000 美元不等，每個違規類別的年度最高金額可達 150 萬美元。

HIPAA 的範圍涵蓋所有「受保護實體」（健康計畫、醫療保健清算機構和醫療保健提供者）及其「業務夥伴」——任何代表受保護實體處理 PHI 的組織。當 AI 供應商處理患者記錄、臨床筆記、診斷影像或任何可識別患者的資料時，他們就成為受 HIPAA 完整法規要求約束的業務夥伴。這對 AI 訓練管線的設計方式和患者資料允許流向的位置有深遠的影響。

該法規建立在三個主要規則之上：隱私規則、安全規則和違規通知規則。隱私規則確定誰可以在什麼條件下存取 PHI。安全規則規定電子 PHI（ePHI）的技術保障措施，包括存取控制、稽核控制、完整性控制和傳輸安全。違規通知規則要求受保護實體在未受保護的 PHI 被洩露時通知受影響的個人、HHS，有時還包括媒體。

AI-Specific Requirements

醫療保健中的 AI 系統面臨更嚴格的 HIPAA 審查，因為它們通常需要大量患者資料進行訓練。安全規則的技術保障要求（45 CFR 164.312）要求限制系統存取僅限授權使用者的存取控制、記錄和檢查 ePHI 存取的稽核控制、保護 ePHI 免受不當更改或銷毀的完整性控制，以及防止電子傳輸期間未經授權存取的傳輸安全。

最小必要標準與 AI 訓練資料準備特別相關。根據這一原則，組織必須將 PHI 存取限制在完成預定目的所需的最小量。對於 AI 團隊，這意味著仔細界定訓練資料集的範圍，僅包含模型特定用例所需的臨床資料元素，而不是包含完整的患者記錄。根據 HIPAA 安全港方法（移除 18 個特定識別符）或專家判定方法進行去識別化，可以允許資料在 HIPAA 限制之外使用，但去識別化必須徹底且可驗證。

每當 PHI 與第三方服務供應商分享時，都需要業務夥伴協議（BAA）。對於 AI 開發，這意味著任何接觸 PHI 的雲端平台、標註服務或模型託管供應商都必須簽署 BAA。許多雲端 AI 服務要麼拒絕簽署 BAA，要麼對其服務可以如何與 PHI 一起使用施加重大限制。這為醫療保健組織採用消除與外部 AI 基礎設施供應商簽署 BAA 需求的本地端 AI 解決方案創造了強烈的動機。

How Ertas Helps

Ertas 提供了符合 HIPAA 的架構，將 PHI 完全保留在您組織的受控環境中。Ertas Data Suite 作為完全本地端的氣隙桌面應用程式運作——患者資料永遠不會離開您設施的網路。沒有資料外洩到外部伺服器、沒有 PHI 的雲端處理，也不需要與 AI 基礎設施供應商簽署業務夥伴協議。這大幅簡化了您 AI 開發的 HIPAA 合規面。

Ertas Data Suite 中內建的 PII 編輯引擎專為處理醫療保健資料模式而設計，偵測和遮蔽患者姓名、病歷號碼、出生日期、社會安全號碼和其他 PHI 識別符。資料譜系追蹤為每次資料轉換提供完整的保管鏈，允許合規官員驗證在資料進入訓練管線之前已正確套用去識別化。系統中的每個操作都被全面的稽核日誌捕獲，滿足安全規則下 HIPAA 的稽核控制要求。

Ertas Studio 的 Vault 功能提供 HIPAA 安全規則要求的加密和存取控制層。所有儲存的資料集和模型都經過靜態加密，基於角色的存取控制確保只有授權人員才能查看或修改源自 PHI 的訓練資料。訓練後，模型以 GGUF 格式匯出供本地推論，這意味著臨床 AI 應用可以在現場運行預測，無需將患者資料傳輸到外部推論端點。這種端到端的本地端工作流程消除了與雲端 AI 推論醫療保健資料相關的違規風險。

Compliance Checklist