Маскирование (электронная медицинская карта)

Расширение доступа, вызванное внедрением электронных медицинских записей, воспринимается рядом пациентов как существенная угроза приватности^[3]. Маскирование данных — один из ключевых способов обеспечения конфиденциальности ЭМЗ, содержащих большое количество чувствительной информации. Сведения о случаях злоупотребления алкоголем или наркотиками, инфекции, передаваемые половым путём, или аборт в анамнезе могут привести к дискриминации и нанести социальный вред пациенту, что подчёркивает важность защиты таких данных^[4]. Маскирование ограничивает как внутренний, так и внешний доступ к определённой записи, повышая её защищённость. Если пациент отправляет официальный запрос на маскирование ЭМЗ, медицинские организации обязаны адаптировать систему так, чтобы неавторизованные лица не имели доступа к скрытой информации^[5].

Для повышения безопасности своих ЭМЗ пациент может подписать соответствующую форму в медицинском учреждении, чтобы инициировать маскирование части своих данных. Медицинские организации, использующие специализированное программное обеспечение для работы с ЭМЗ, обязаны информировать пациентов о возможностях и потенциальных последствиях маскировки данных. В рамках запроса пациент может определить круг врачей и сотрудников медучреждения, которым он разрешает доступ к собственной записи^[6]. Медицицинские учреждения обязаны выполнять такие требования по закону о медицинских данных (Health Records Act) и реализовывать маскирование в своих ИТ-системах, в противном случае возможны серьёзные последствия^[7]. Для отслеживания истории доступа к данным в ЭМЗ в современных системах могут применяться журналы аудита, позволяющие фиксировать, кто и когда просматривал ту или иную запись^[8].

В сфере медицинской помощи авторизованные пользователи могут получить доступ к замаскированной информации ЭМЗ в экстренных случаях. Например, если пациент находится в критическом состоянии и требуется срочная медицинская помощь, врач получает разрешение на полный доступ к необходимым данным ЭМЗ. Такой механизм часто называют «breaking the glass» («разбить стекло»). Все случаи размаскирования фиксируются в журнале аудита, а для доступа обычно требуется обоснованная причина^[9].

Маскирование включает широкий спектр изменений, направленных на защиту информации в пределах электронных медицинских записей. Кроме индивидуальных запросов пациентов, этот подход часто применяется и в научных (например, эпидемиологических) исследованиях для снижения риска нарушения конфиденциальности^[10]. Для этого идентификаторы заменяют случайными значениями, применяют хеш-функции или используют уникальные ключи. Ниже приведены основные механизмы маскирования.

Шифрование — наиболее сложная, но и одна из самых безопасных форм маскирования данных. Для доступа к скрытым данным в ЭМЗ требуется ввод пароля или ключа, известного только разрешённым пользователям. Если задано требование на маскирование ЭМЗ, для неавторизованных лиц (включая хакеров) доступ становится чрезвычайно затруднённым без уникального кода для расшифровки^[2].

Обсфускация (искажение) ограничивает распространение особо чувствительной медицинской информации за счёт изменения и «перемешивания» отдельных элементов данных в ЭМЗ для предотвращения несанкционированного доступа. Хотя обсфускация не скрывает данные физически, она затрудняет их идентификацию внешними лицами или сетями. Этот подход обычно применяется для числовых данных (например, адресов или дат) и сохраняет внутренние взаимосвязи между записями^[11]. Например, для выявления закономерностей в распространении заболеваний эпидемиологам часто достаточно соотношения между адресами пациентов без раскрытия самих локаций: адреса могут быть заменены на условные метки.

При искажении данных изменения могут вноситься как в исходные базы, так и в результирующие выборки или ответы на запросы^[12]. Такой метод позволяет сохранять агрегированные тренды, одновременно модифицируя или удаляя конкретные показатели^[11]. Например, данные могут случайным образом «перемешиваться» между разными ЭМЗ, или в выборку добавляется случайный шум, который меняет отдельные значения, сохраняя общее распределение. Искажение признаётся одним из наиболее эффективных и при этом простых для реализации способов защиты^[13].

Исключение данных заключается в полном удалении отдельных элементов либо всей ЭМЗ из системы (по желанию пациента) или удалении отдельных разделов (например, анамнеза или сведений об операции). Такой метод обеспечивает максимальный уровень конфиденциальности, однако несёт риски для преемственности лечения^[11]. Подобная практика часто применяется, когда исследователи анализируют обобщённые данные о состоянии здоровья. Персональные идентификаторы (имя, дата рождения, адрес) удаляются, а для анализа используются только сведения о диагнозах и процедурах. Такой подход сохраняет анонимность пациентов при возможности научного анализа^[11].

Метод хеширования предполагает блокировку и деидентификацию отдельных символов или фрагментов в строках данных, в результате чего персональная информация становится неузнаваемой^[2]. Маскированные таким образом сведения визуально недоступны неавторизованным лицам^[11]. Однако хеширование необратимо изменяет данные, поэтому применяется только к тем записям, которые не потребуется расшифровать в будущем. Например, при изучении распространённости сахарного диабета 2 типа в определённом регионе учёные могут заменить точные адреса пациентов на обезличенные значения: № XXX XXXXX улица, XX XXXX, Виктория, Австралия, индекс 31XX.