本周，美國(guó)12個(gè)州的檢察長(zhǎng)就醫(yī)療技術(shù)解決方案供應(yīng)商2015年遭受的數(shù)據(jù)泄露對(duì)MIE公司提起訴訟。

據(jù)悉，此次訴訟對(duì)象為“醫(yī)療信息學(xué)工程（簡(jiǎn)稱(chēng)MIE）”，即之前的“企業(yè)健康（Enterprise Health）”與其子公司“作別剪貼簿（NoMoreClipboard）”。其產(chǎn)品允許醫(yī)療供應(yīng)商傳輸及共享信息。

2015年夏季，MIE曾通知客戶(hù)稱(chēng)，WebChart電子健康記錄（EHR）解決方案使用的服務(wù)器遭到了破壞，390萬(wàn)人的詳細(xì)信息遭人竊取。受影響信息包括姓名、電話(huà)號(hào)碼、住址、用戶(hù)名、哈希密碼、電子郵箱地址、安全提問(wèn)與回答、出生日期、社保號(hào)碼、健康保險(xiǎn)詳情及醫(yī)療信息。

12個(gè)州的檢察長(zhǎng)決定起訴MIE，據(jù)稱(chēng)這是有關(guān)《健康保險(xiǎn)可遷移及可追責(zé)法案》（簡(jiǎn)稱(chēng)HIPAA）第一次由多個(gè)州發(fā)起的數(shù)據(jù)泄露訴訟。

此外，為確保受保護(hù)健康信息的私密性與安全性，HIPAA建立了一系列政策與處理程序。各州檢察長(zhǎng)稱(chēng)MIE違反了HIPPA相關(guān)規(guī)定、不公平與欺騙性的行為法、數(shù)據(jù)泄露通知法規(guī)以及關(guān)注保護(hù)個(gè)人信息的州級(jí)法。

訴訟是在MIE總部所在地印第安納州，由總檢察長(zhǎng)代表印第安州、亞利桑那州、阿肯色州、佛羅里達(dá)州，愛(ài)荷華州，堪薩斯州，肯塔基州，路易斯安那州，明尼蘇達(dá)州，內(nèi)布拉斯加州，北卡羅來(lái)納州和威斯康星州提起的。

當(dāng)局稱(chēng)MIE未能實(shí)施基本的數(shù)據(jù)安全措施，未在系統(tǒng)中落實(shí)安全機(jī)制以防漏洞遭利用，未加密敏感個(gè)人信息與醫(yī)療信息，且對(duì)于該泄露事件的回應(yīng)不夠充分有效。

北卡羅來(lái)納州監(jiān)察長(zhǎng)喬希·斯坦（Josh Stein）稱(chēng)，“據(jù)估計(jì)，在去年逾530萬(wàn)北卡羅來(lái)納州人受數(shù)據(jù)泄露事件影響。我估計(jì)今年的人數(shù)也不樂(lè)觀。我們必須加大力度保護(hù)人們的個(gè)人信息安全——尤其是健康及其他敏感信息?！?/p>

MIE并未立即回應(yīng)SecurityWeek邀其對(duì)此次訴訟發(fā)表評(píng)論的請(qǐng)求。