Требование 18 идентификаторов
Правило конфиденциальности HIPAA (45 CFR Section 164.514) определяет метод анонимизации Safe Harbor: для анонимизации защищенной медицинской информации необходимо удалить 18 конкретных категорий идентификаторов. Метод Safe Harbor является одним из двух подходов к анонимизации HIPAA; он используется чаще, поскольку соблюдение является детерминированным — если все 18 категорий удалены, данные считаются анонимизированными в соответствии с законом.
18 категорий:
- Имена
- Географические данные (меньше, чем штат — включая адрес, город, округ, почтовый индекс)
- Даты (кроме года), относящиеся к индивидууму — дата рождения, дата поступления, дата выписки, дата смерти
- Номера телефонов
- Номера факсов
- Адреса электронной почты
- Номера социального страхования
- Номера медицинских карт (MRN)
- Номера бенефициаров медицинского плана
- Номера счетов
- Номера сертификатов/лицензий
- Идентификаторы транспортных средств и серийные номера
- Идентификаторы устройств и серийные номера
- Веб-URL
- IP-адреса
- Биометрические идентификаторы (отпечатки пальцев, голосовые отпечатки)
- Фотографии в полный рост и сопоставимые изображения
- Любой другой уникальный идентификационный номер или код
Большинство инструментов обнаружения PII надежно обнаруживают категории 1, 4, 6 и 7 — имена, номера телефонов, адреса электронной почты и номера социального страхования. Они систематически не справляются с категориями 8, 9, 10, 11, 13 и 18.
Проблема обнаружения MRN
Номера медицинских карт явно указаны как идентификатор PHI (категория 8). Форматы MRN специфичны для учреждения — нет стандартизированного национального формата. Больница A использует 7-значное целое число. Больница B использует "PT-YYYYNNNN", где YYYY — это год, а NNNN — порядковый номер. Больница C использует алфавитно-цифровую строку из 8 символов. Больница D использует "MRN: " за которым следует 9-значное число.
Генерический инструмент обнаружения PII, который не знает формат MRN Больницы B, не обнаружит "PT-2024-8847" как идентификатор PHI. Документ, содержащий этот MRN, будет считаться анонимизированным после стандартной обработки — хотя это не так.
Это создает режим нарушения соблюдения, который невидим для организации: анонимизация кажется завершенной, потому что инструмент не отметил никаких нарушений. Проблема заключается в отсутствии обнаружения.
Решение с пользовательскими сущностями
Организации здравоохранения, которым необходимо обнаружение MRN, имеют три варианта. Во-первых, реализовать обнаружение в Presidio напрямую — что требует знаний программирования на Python и постоянного обслуживания по мере изменения форматов MRN. Во-вторых, поддерживать этап ручного обзора специально для MRN — создавая систематическую слабую ссылку в процессе анонимизации. В-третьих, использовать систему, которая предоставляет создание пользовательских сущностей с помощью ИИ без необходимости в коде.
Подход с помощью шаблона ИИ: команда клинической информатики предоставляет 5 образцов значений MRN (SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001) и запрашивает шаблон обнаружения. ИИ генерирует регулярное выражение — SVHS-d{7} — и проверяет его на соответствие предоставленным примерам. Шаблон сохраняется в предустановке соблюдения HIPAA команды. Все последующие сессии анонимизации автоматически обнаруживают этот формат MRN.
Тот же подход применяется к другим специфичным для учреждения идентификаторам: форматам номеров бенефициаров медицинского плана, форматам серийных номеров оборудования и любым собственным идентификационным кодам, специфичным для организации.
Источники: