anonym.legal

By · Last updated 2026-05-30

返回博客医疗保健

HIPAA:医院专属病历号的精准检测

HIPAA安全港要求删除病历号,但MRN格式并无统一标准——Epic、Cerner和Meditech各有不同。通用PII工具会漏掉您机构专属的格式。本指南说明如何通过自定义实体在数小时内消除这一合规漏洞。

May 30, 20267 分钟阅读
HIPAA Safe Harbormedical record numbersMRN detectionhealthcare compliancecustom PII patterns

2026年更新版

HIPAA安全港去标识化:无需工程师检测医院专属MRN格式

HIPAA安全港要求删除病历号(MRN),这是18类必须删除的标识符之一。听起来简单,问题在于MRN格式并无统一标准。

Epic有一套格式,Cerner是另一套,Meditech又是另一套。每家医院还会附加自己的代码,区域医疗集团则会产生更多格式。通用PII工具无法知晓您机构的格式,因此会漏掉您的MRN。

这不是小风险。医疗IT团队经常发现,本以为已去标识化的数据集中仍然存在MRN,原因就是工具只配置了常见PII类型。

MRN格式难题

美国没有统一的病历号国家标准,每家医院或EHR供应商都自行定义格式。

常见格式举例:

  • Epic格式: 8至12位纯数字(如123456789)
  • Cerner格式: 医院代码前缀+数字(如MGH-987654)
  • 区域医疗网络: 机构代码+年份+序列号(如HOSP-2023-456789)
  • 退伍军人事务部: 9位含校验位数字
  • 儿科系统: 患者类型前缀+数字(如PED-12345678)

没有任何单一规则能匹配所有格式,MRN没有通用模式。

通用PII工具能检测的内容: 大多数HIPAA工具专注于固定格式的标识符——SSN遵循XXX-XX-XXXX格式,电话号码遵循XXX-XXX-XXXX格式,电子邮件地址有固定形式,这些容易识别。

MRN、账户号码和执照号码是HIPAA第8、10和11类标识符,它们因医院而异,需要自定义配置,通用工具无法捕捉。

合规漏洞

某区域医院希望与大学研究伙伴共享患者数据,其EHR使用以下MRN格式:HOSP-YYYY-XXXXXX。

他们通过HIPAA工具处理数据,工具删除了姓名、日期、电话号码和SSN,但没有删除MRN——HOSP-2023-456789不匹配任何内置规则。

研究人员获得了数据集,并将其与自己持有的记录(包含同一医院过往转诊的MRN)进行关联。许多患者因此被重新识别。该医院发生了HIPAA数据泄露事件。

这是真实存在的失效模式。另请参阅HIPAA安全港医疗研究去标识化,了解安全港在哪些方面容易失效。

解决方案:自定义实体创建

解决方法是将您的MRN格式定义为自定义实体,合规负责人可以完成这项工作,无需工程师介入。

操作步骤:

  1. 写出格式描述:「以HOSP开头,接一个连字符,再接4位年份,连字符,再接6位数字」

  2. 使用AI工具生成正则表达式:HOSP-\d{4}-\d{6}

  3. 在20份出院摘要上测试,确认所有MRN均被捕获

  4. 将其保存为名为「医院病历号」的自定义实体

  5. 将其添加到您的HIPAA预设中,与标准17类标识符并列

合规负责人完成这一流程约需3天,而开发自定义代码可能需要3个月。

案例:15家机构的医院网络

组织: 15家机构的区域医院网络

MRN格式: HOSP-YYYY-XXXXXX(存在于数千份出院摘要PDF中)

目标: 依据HIPAA数据使用协议与大学伙伴共享研究数据集

原方案: 外部去标识化供应商,年费12万美元

发现的漏洞: 供应商工具无法检测机构专属MRN格式

新工作流程:

  1. 合规负责人定义MRN格式——20分钟
  2. AI验证正则表达式——5分钟
  3. 在50份样本摘要上测试——30分钟
  4. 确认无MRN遗漏、无误报——10分钟
  5. 将自定义实体添加至HIPAA预设
  6. 对完整的5万条记录数据集进行批量处理

消除漏洞的总用时:一个下午。

多机构网络:多种MRN格式

通过并购建立的医院网络通常运行多个EHR系统,每个遗留系统可能使用不同的MRN格式。

处理方法:

为每种格式创建单独的自定义实体:

  • 「MRN格式A(Epic)」——8位纯数字
  • 「MRN格式B(旧版Cerner)」——前缀+7位数字
  • 「MRN格式C(并购关联机构)」——州代码+年份+序列号

一个预设包含所有三个自定义实体以及标准HIPAA标识符类型,来自所有机构的每一份文件都会删除其MRN。

请参阅无代码HIPAA管道中的自定义MRN检测,获取多格式配置的分步指南。

超越MRN:其他非标准标识符

同样的方法适用于其他HIPAA安全港标识符类型。

医疗保险成员号(第9类): 每家保险公司使用自己的格式,安泰、蓝十字和联合健康格式各不相同,账单团队需要为每家付款方建立自定义格式。

账户号码(第10类): 医院账单账号因医院而异。

执照号码(第11类): DEA号码有联邦统一格式,各州医疗执照号没有,每个州立委员会有自己的格式。

设备标识符(第14类): 医疗器械序列号由各厂商自行设定。

对于每一类,自定义实体都能消除漏洞,无需工程师介入。

请参阅组织匿名化的自定义PII标识符,了解更多非标准标识符类型的信息。

验证:证明安全港合规性

HIPAA安全港规定,被覆盖实体不得有「实际知晓」数据可能识别某人的情形(45 CFR §164.514(b)(1))。

自定义实体验证可证明18类标识符均已覆盖。

验证步骤:

  1. 对研究数据集中50至100份样本文件进行处理
  2. 审查输出——是否有任何内容看起来像标识符?
  3. 进行第二次检测以捕获遗漏项
  4. 记录操作过程

您的自定义实体配置、样本审查记录和处理日志共同构成安全港合规记录。

结论

使用默认设置的通用PII工具无法完成HIPAA安全港去标识化。病历号是医院专属的,需要自定义检测。

自定义实体创建可在数小时内消除这一漏洞。合规负责人可以定义格式、测试格式并处理数据,无需任何工程工作。

「我们运行了HIPAA工具」和「我们删除了安全港要求的全部18类标识符」之间的差距,往往只是一个缺失的自定义实体。

参考资料

相关文章

医疗保健

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

医疗保健

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

医疗保健

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

准备好保护您的数据了吗?

开始使用 285 种实体类型在 48 种语言中匿名化 PII。

开始免费试用查看功能

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.