ソニーハックがあなたの健康プライバシーについてあなたに教えることができること

ジューシーハリウッドのゴシップとキャンセルされた映画のリリースはさておき、ソニーのハッキングの別の結果はあまり公表されていませんが、より深刻になる可能性があります。名前や識別可能な情報など、従業員の医療費と健康状態に関する機密資料のリリースです。

ガーディアンズオブピースとして知られるハッカーグループによって過去数週間にリリースされたソニーピクチャーズエンターテインメントから盗まれた電子メールとドキュメントの中には、34の高額な医療費を詳述した人事サーバーから取られたスプレッドシートがありました従業員とその家族。

これらの従業員はスプレッドシートに名前が記載されていません。しかし、潜在的に識別可能な情報（生年月日や性別など）は、癌、腎不全、アルコール性肝硬変、早産など、人々が治療されていた医療費と状態の集計に付随していました。

その他漏洩した文書には、名前に加えて、従業員の子供または配偶者に対する拒否された保険金請求の言及が含まれていました。 Bloomberg.comは、あるメモの中で、ソニーの人事部は、「子供が受けている治療の種類、子供がどのように運んでいたか、施設の場所、保険会社が子供のケア提供者と行った会話について詳細に説明した」と報告しています。

この種の違反は、直接影響を受ける人々にとって恐ろしいものであり、人生を変えるものでさえあります。ただし、自分のプライバシー権、従業員の健康記録について企業がどれだけ知っておくべきか、それらの記録が実際にどれほど安全かについて疑問に思っている人にも関係する必要があります。

アメリカ人は健康によって保護されています1996年の保険の相互運用性と説明責任に関する法律。HIPAAとも呼ばれ、医療記録と保険記録にアクセスできるユーザーに関するルールを設定します。これは、電子、書面、または口頭の情報に適用されます。 HIPAAの下では、保険会社はあなたの同意なしにあなたの雇用主と識別可能な医療情報を共有することはできません。

しかし、従業員は雇用時に書類に署名することで同意することがよくあります（時にはそれを認識せずに）、とLaraCartwright-Smithは言います、JD、MPH、ジョージワシントン大学ミルケンインスティテュート公衆衛生大学院の准研究教授およびHealthInfoLaw.orgの共同ディレクター。また、たとえば、請求の承認を得るために福利厚生部門に支援を求める場合など、機密情報を自発的に開示することもあります。

HIPAAはほとんどの雇用主には適用されず、医療保険と医療提供者にのみ適用されます。雇用主が機密性の高い健康情報を入手したら、同じ方法でそれを保護する必要はありません。そして一般的に、犯罪が発生した場合、プライバシー権は保護されない、とCartwright-Smithは言います。その犯罪の犠牲者（この場合はSony）がそれを防ぐために全力を尽くしたと仮定します。

「誰かがあなたの医者のオフィスに侵入してあなたのチャートを盗んだかのように考えてください」と彼女は言います。 「あなたの医者は何も悪いことをしなかったので、彼はおそらく責任を負わないでしょう。そして、最近のデジタルファイルは、紙のファイルと同じくらい安全でも安全でもない可能性があります。」

従業員の請求についてメールを送信したり、高価な医療費のファイルを保管したりすること自体は問題ないようです、とCartwright-Smithは仮定します。資料は合法的なビジネス上の理由で使用されており、侵襲的または差別的な目的では使用されていませんでした。

非営利の世界プライバシーフォーラムの事務局長であるパムディクソンは、高い医療費のスプレッドシートはおそらくそうではないことに同意します。人事部で見るべき珍しいリスト。しかし、ソニーにはその情報を保護し、不必要なリスクを制限する義務があると彼女は言います。 「従業員の健康問題についてメールや安全でない方法で話し合わないことがベストプラクティスだと私は確信しています。」

ソニーは、会社がそのような問題を保護するために必要な措置を講じなかったことが判明した場合、責任を問われる可能性があります。材料、彼女は言います。ディクソンは、ウイルス対策ソフトウェアの更新に失敗したとして政府によってハッキングされ、後に罰金を科されたアラスカのメンタルヘルスクリニックの最近の事例を引用しています。

'これは機密情報の分水嶺の瞬間だと思います。 「ディクソンは言います。 「セキュリティを最新の状態に保っていない場合、この種の機密情報に対して実際に最先端の保護を提供していない場合は、責任があります。」

Under連邦取引委員会の健康違反通知規則では、個人の健康情報を収集する企業は、その情報が危険にさらされたり漏洩したりした場合に従業員に通知する必要があるとディクソン氏は言います。カリフォルニア州には、医療記録を安全に保ち、違反が発生した場合に従業員に通知することを雇用主に義務付ける独自の法律もあります。

実際、ソニーの元従業員は今週、データの保護に失敗し、ハッキングについてタイムリーに通知しなかったとして、ソニーに対して2つの異なる集団訴訟を提起しました。ソニーはデジタルセキュリティの弱点を何年も前から知っていて、ファイアウォールの使用、ファイルの暗号化、保護されたネットワークへのデータの保存などの予防策を講じていなかったと彼らは言います。ソニーピクチャーズは、訴訟に関する健康のコメントの要求をすぐに返しませんでした。

あなたはあなたの健康情報のすべてをあなたの雇用主から秘密に保つことができないかもしれません—彼らは医者のメモを求める権利を持っています。家族の休暇、またはあなたの仕事のやり方に直接影響を与える可能性のある医療情報-ただし、彼らがアクセスできるものを制限することができます。

'保険書類や関連するものに記入するときは、署名する前にすべてを読んでくださいCartwright-Smith氏は、「職場の健康プログラムに参加し、健康情報がどこで共有されるかを確実に理解するようにします。」

ソニーのハッキングにより、他の企業が利益を得る可能性が高いと述べています。独自のセキュリティを検討し、すべての業界に新しいセーフガードを導入することを願っています。雇用主が注意を払っていることを確認するには、質問してください。

「慢性的な健康状態にある人、または慢性的な状態の家族がいる人にとって、人事部に行って「」と言うのはひどいことではありません。私は何が起こったのか本当に心配しています。ここで発生しないようにするために、どのような手順を実行していますか？」とディクソン氏は言います。 「現時点では、ほとんどの雇用主がこれらの手順を確認することを非常に優先していると思います。」

従業員は、保険から現在の医療記録のコピーを要求して保持することで、自分自身を保護することもできます。会社とその医師、ディクソンは言います。そうすれば、誰かがあなたの健康情報を盗み、それを使って自分の治療を求める場合（医療IDの盗難として知られる犯罪）、合法的なエントリと違法なエントリを区別するのに役立つ「前」のコピーがあります。

個人の健康情報をソーシャルメディアから遠ざけることで、医療記録がハッキングされたり違法に共有されたりした場合にも保護できるとディクソン氏は言います。 「過去に保護されていない情報を他の場所に投稿した場合、機密保持権の多くを失う可能性があります。」

最後に、仕事の通信に個人情報を含めないでください。深刻な健康問題について同僚と話し合うことは避けてください。 「ウォータークーラーの周りでカジュアルな会話があれば問題ありませんが、軽くして、メールに近づけないでください。」