18个标识符要求
HIPAA的隐私规则(45 CFR第164.514节)规定了安全港去标识化方法:为了去标识化受保护的健康信息,必须删除18个特定的标识符类别。安全港方法是两种HIPAA去标识化方法之一;由于合规性是确定性的,因此更常用——如果删除了所有18个类别,则数据在法律上被视为去标识化。
这18个类别:
- 姓名
- 地理数据(小于州的范围——包括街道地址、城市、县、邮政编码)
- 与个人相关的日期(年份除外)——出生、入院、出院、死亡
- 电话号码
- 传真号码
- 电子邮件地址
- 社会安全号码
- 医疗记录号码(MRN)
- 健康计划受益人号码
- 账户号码
- 证书/许可证号码
- 车辆标识符和序列号
- 设备标识符和序列号
- 网站URL
- IP地址
- 生物识别标识符(指纹、声纹)
- 全脸照片和可比图像
- 任何其他唯一识别号码或代码
大多数PII检测工具可靠地检测类别1、4、6和7——姓名、电话号码、电子邮件地址和社会安全号码。它们在类别8、9、10、11、13和18上系统性失效。
MRN检测差距
医疗记录号码被明确列为PHI标识符(类别8)。MRN格式是特定于机构的——没有标准的国家格式。医院A使用7位整数。医院B使用"PT-YYYYNNNN",其中YYYY是年份,NNNN是序列号。医院C使用一个字母数字8字符字符串。医院D使用"MRN: "后跟9位数字。
一个不知道医院B的MRN格式的通用PII检测工具将不会将"PT-2024-8847"检测为PHI标识符。包含此MRN的文档在标准处理后将被视为去标识化——而实际上并非如此。
这造成了一个对组织不可见的合规失败模式:去标识化看似完成,因为工具没有标记任何违规行为。缺失的检测才是问题所在。
自定义实体解决方案
需要MRN检测的医疗保健组织有三种选择。首先,直接在Presidio中实现检测——这需要Python编程专业知识和随着MRN格式演变而进行的持续维护。其次,专门为MRN维护一个手动审核步骤——在去标识化管道中创建一个系统性的薄弱环节。第三,使用一个提供AI辅助自定义实体创建的系统,而不需要编码。
AI模式助手方法:临床信息学团队提供5个示例MRN值(SVHS-0012345、SVHS-0987654、SVHS-1122334、SVHS-4455667、SVHS-8899001)并请求检测模式。AI生成一个正则表达式——SVHS-d{7}——并根据提供的示例进行验证。该模式被保存到团队的HIPAA合规预设中。所有后续的去标识化会话自动检测此MRN格式。
同样的方法适用于其他特定于机构的标识符:健康计划受益人号码格式、设备序列号格式以及任何特定于组织的专有识别代码。
来源: