個人健康情報法 (ニューファンドランド・ラブラドール州)

概要

個人健康情報法、SNL 2008、c P-7.01 (NL PHIA、Newfoundland and Labrador Personal Health Information Act) は、ニューファンドランド・ラブラドール州 (NL) 保健セクター固有のプライバシー法であり、同州の医療サービス提供に関する個人健康情報 (PHI、personal health information) の収集、使用、および開示に適用されます。

AWS に保存するコンテンツの管理およびアクセスについては、常にお客様が制御します。AWS では、データが NL PHIA の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを閲覧または確認できません。NL PHIA のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、NL PHIA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用することができます。

現在、AWS カナダ (中部) リージョンでは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) などの複数のサービスをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページを参照してください。

  • Personal Information Protection and Electronic Documents Act (PIPEDA: 個人情報保護および電子文書法) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門両方に適用される一般的なプライバシー法および個人健康情報に固有のプライバシー法を独自に制定しています。個人健康情報法、SNL 2008、c P-7.01 (NL PHIA) は、ニューファンドランド・ラブラドール州 (NL) のプライバシー法であり、NL の医療サービス提供に関する個人健康情報 (PHI) の収集、使用、および開示に適用されます。NL PHIA は、薬剤師または救急隊といった同法で定義されている PHI の管理者が保持する情報に適用されます。「管理者 (custodian)」は、個人に対する医療提供、またはそれに必然的に関連する職務を遂行する際の医療従事者を含みますが、これに限定されません。

    AWS のお客様が PIPEDA、NL PHIA、またはカナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲については、お客様のビジネスによって異なります。

    その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、こちらの AWS ウェブサイトをご覧ください。

    お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。

  • AWS のお客様は、NL PHIA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用することができます。

    NL PHIA の対象となるお客様は、個人健康情報の収集、閲覧、使用、開示、および保護に関する要件を遵守する義務を負います。AWS では、コンテンツの保護方法およびアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存方法または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する個人健康情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

    法人が SOC、PCI、または FedRAMP の認定または認可を受ける方法と同じ方法で、NL PHIA コンプライアンスの「認定」を正式に認める方法はありません。代わりに、AWS では、AWS によって確立および運用されているポリシー、プロセス、および管理に関する多くの情報をお客様に提供しています。AWS コンプライアンスのリソースページではワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。

  • AWS に保存するコンテンツの管理や閲覧については、常にお客様が制御します。AWS では、お客様によるコンテンツの管理およびアクセスのために、高度なアクセス機能、暗号化機能、ログ機能を提供しています。お客様から指示があった場合や、法律、または管轄権を持つ政府機関または規制機関の法的に有効で拘束力のある命令に従う必要がある場合を除き、AWS がカスタマーコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法的に禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではカスタマーコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーに関するよくある質問を参照してください。 

  • プライバシー法の遵守については、お客様の法律顧問に相談することをお勧めします。NL PHIA では、技術的かつ物理的な管理上の安全対策など、管理者による管理または制御において PHI を保護するために特定の対策を講じるよう定められている場合があります。NL 外またはカナダ国外で保存、閲覧、使用、または開示される PHI は、そうした NL 外またはカナダ国外での保存、閲覧、使用、または開示に先立って、NL PHIA に定められている特定の義務の対象となります。NL 外またはカナダ国外へのデータの転送および保存が、NL PHIA の定めるセキュリティおよびプライバシーに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

    AWS のお客様は、PIPEDA またはカナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がお客様のコンテンツを、お客様が選択したリージョンの外に移動または複製することはありません。

  • NL PHIA では、個人情報の暗号化については特定の要件を設けていません。ただし、NL PHIA の対象となる法人には、個人健康情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、PHI は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨します。

  • AWS では、AWS 環境およびセキュリティ制御を理解するのに役立つ、さまざまな資料をご利用いただけます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) にオンデマンドでアクセスできます。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスを提供しています。

  • 責任共有モデルの一環として、お客様は、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討する必要があります。AWS では、スケーラブルなログ記録およびログ分析のアーキテクチャを簡単に実装できるサービスを提供しています。また、AWS Marketplace では、セキュリティログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でのログ記録の実装方法に関する詳細については、AWS セキュリティログ機能のページを参照してください。

  • カナダの医療動向については、最新のブログ記事を参照してください。AWS クラウドでの医療コンプライアンスに関する追加情報は、こちらから確認できます。

NL PHIA リソース

Key Trends in Canadian Healthcare
カナダの公共部門
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »