符合 HIPAA 的
醫療支援 AI
將 JieGou 的 10 層治理架構對照 HIPAA 要求。PHI 偵測(MRN、NPI、ICD-10、健保識別碼)搭配可設定的遮蔽模式、存取控制、稽核軌跡、加密和最小必要原則 — 全部內建於每個 AI 互動中。
HIPAA 要求
HIPAA 對 AI 系統的要求
任何處理病患通訊的 AI 系統都必須符合 HIPAA 隱私與安全規則的這些核心要求。
PHI 保護
受保護的健康資訊必須被識別、保護,且僅向授權方揭露。處理病患訊息的 AI 系統必須偵測 MRN、NPI、ICD-10 代碼、健保識別碼和醫療情境 — 並以可設定的遮蔽模式處理 PHI。
最小必要原則
僅應使用或揭露特定目的所需的最少 PHI 量。AI 自主權必須受到限制以防止不必要的資料暴露。
稽核軌跡
所有對 PHI 的存取和揭露都必須記錄誰、什麼、何時和為什麼。AI 決策必須產生可供合規審查的可稽核記錄。
資料洩露通知
涵蓋實體必須就未加密 PHI 的洩露通知受影響個人、HHS,以及在某些情況下通知媒體。必須建立偵測和回應系統。
JieGou 對照
JieGou 如何因應各項要求
JieGou 現有的治理功能直接對應 HIPAA 的技術保護措施要求 — 無需附加元件或第三方外掛。
專用 PHI 偵測模組
JieGou 提供專門建構的 PHI 偵測模組,可在 AI 處理訊息之前識別醫療紀錄號碼(MRN)、透過 Luhn 檢查驗證國家提供者識別碼(NPI)、偵測 ICD-10 診斷和手術代碼、識別健保識別碼,並標記醫療情境用語。可設定的遮蔽模式支援完全遮蔽或部分遮罩。該模組已通過 32 個測試案例驗證,涵蓋邊界案例和誤報。敏感度標籤依暴露風險對偵測到的 PHI 進行分類。
每個 AI 決策的稽核日誌
30 種動作類型擷取每次互動 — 訊息接收、AI 分流決策、PHI 偵測、升級觸發、回應送出、核准請求。不可竄改的日誌支援合規稽核和事件調查。
信任升級強制最小必要原則
4 個自主等級控制 AI 可存取和操作的資料量。等級 1(僅建議)確保人工審查每個包含 PHI 的回應。等級 4(完全自動)可限制為僅處理不含 PHI 的互動。
BYOK 靜態資料加密
AES-256-GCM 加密搭配自帶金鑰(BYOK)支援,確保病患資料使用您組織控制的金鑰加密。內建金鑰輪換、存取日誌和職責分離。
功能對照
HIPAA 要求對應 JieGou 功能
| HIPAA 要求 | JieGou 功能 | 狀態 |
|---|---|---|
| PHI 偵測 | PHI 偵測模組 — MRN、NPI(Luhn 驗證)、ICD-10 診斷/手術代碼、健保識別碼,以及具可設定遮蔽模式(完全或部分遮罩)的醫療情境用語。32 個驗證測試案例。 | 就緒 |
| 存取控制 | RBAC(5 種角色,20 項權限) | 就緒 |
| 稽核軌跡 | 30 種動作類型,不可竄改日誌 | 就緒 |
| 加密 | AES-256-GCM(BYOK) | 就緒 |
| 最小必要原則 | 信任升級(4 個自主等級) | 就緒 |
架構
符合 HIPAA 的訊息處理流程
企業安全認證
JieGou 正在取得 SOC 2 Type II 認證,涵蓋安全性、可用性、處理完整性、機密性和隱私。我們的治理架構從第一天起就是為滿足這些控制措施而設計的。