健康情報法 (アルバータ州)

概要

健康情報法 (HIA) とは、アルバータ州におけるプライバシー関連法規であり、管理中または管理者が扱う医療情報の収集、使用、開示、保護に関する定めがあります。

AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、データが HIA 法の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを閲覧または確認できません。HIA のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、HIA で規定された義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

現在、AWS カナダ (中部) リージョンでは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) などの複数のサービスを利用できます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページをご覧ください。

• PIPEDA と HIA とは何ですか? この 2 つの法律にはどのような関係がありますか?

  Personal Information Protection and Electronic Documents Act (PIPEDA: 個人情報保護および電子文書法) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門両方に適用される一般的なプライバシー法および個人医療情報に関するプライバシー法を独自に制定しています。Health Information Act (HIA: 健康情報法) は、アルバータ州におけるプライバシー法であり、管理中または管理者が扱う医療情報の収集、使用、開示、保護に関する定めがあります。「医療情報」には、(a) 診断、治療、ケアに関する情報、(b) 登録情報の一方または両方が含まれます。「管理者」には、医療サービス提供者、医療専従者 (医師、看護師など)、医療サービス提供組織 (病院、介護施設、救急車オペレーターなど)、医療分野に関連する上記以外の政府機関 (地方医療委員会、地域保健局、地域保健協議会など) が含まれます。

  AWS のお客様が PIPEDA、HIA、カナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲については、お客様のビジネスによって異なります。

  その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、こちらの AWS ウェブサイトをご覧ください。

  お客様の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。
  

• AWS で HIA を遵守するにはどうすればいいですか?

  AWS のお客様は、HIA で規定された義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

  HIA の対象となるお客様は、医療情報の収集、使用、開示、保護に関する要件を遵守する義務を負います。AWS では、コンテンツの保護方法やアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する医療情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

  企業や組織が SOC、PCI、FedRAMP の認定または認可を受ける方法と同じ方法で、HIA コンプライアンスの「認定」を正式に認める方法はありません。代わりに、AWS では、AWS によって確立され、運営されているポリシー、プロセス、対策に関する多くの情報をお客様に提供しています。AWS では、AWS コンプライアンスのリソースページでワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。

• 保存した医療情報に AWS がアクセスすることはありますか?

  AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、お客様によるコンテンツの管理およびアクセスのために、高度なアクセス機能、暗号化機能、ログ機能を提供しています。お客様から指示があった場合や、法律、または管轄権を持つ政府機関または規制機関の法的に有効で拘束力のある命令に従う必要がある場合を除き、AWS がカスタマーコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法的に禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではカスタマーコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーのよくある質問をご覧ください。
  

• アルバータ州外またはカナダ国外にデータを転送や保存することは HIA で禁止されていますか?

  プライバシー法の遵守については、お客様の法律顧問に相談することをお勧めします。HIA 法では、技術的かつ物理的な管理上の安全対策など、医療情報の保管や制御について適切に保護するために特定の対策を講じるよう求める場合があります。アルバータ州外で保存、使用、開示する医療情報は、そのような保存、使用、開示を実行する前に、HIA の定める何らかの義務の対象となる可能性があります。アルバータ州外またはカナダ国外へのデータの転送および保存が、HIA の定める安全およびプライバシーに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

  AWS のお客様は、PIPEDA またはカナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がカスタマーコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。
  

• HIA では医療情報を暗号化するように定められていますか?

  HIA では、医療情報の暗号化については特定の要件を設けていません。ただし、HIA の対象となる団体には、医療情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、医療情報は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨します。
  

• AWS の使用に関連したプライバシー影響評価を完了するための情報はどこで入手できますか?

  AWS では、AWS の環境およびセキュリティ制御を理解するのに役立つ、さまざまな資料を利用できます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) へのオンデマンドアクセスを提供しています。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスを提供しています。
  

• 自社の AWS 環境の監査およびログ記録はどのように実施すればいいですか?

  責任共有モデルの一環として、お客様は、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討する必要があります。AWS では、スケーラブルなログ記録を簡単に実行するサービスや、ログ分析のアーキテクチャを簡単に実装するサービスを提供しています。また、AWS Marketplace では、安全なログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でのログ記録の実装方法に関する詳細については、AWS セキュリティログ機能のページをご覧ください。
  

• カナダにおいて AWS を使用している他の医療組織の事例はありますか?

  カナダの医療動向については、最新のブログ記事を参照してください。AWS クラウドでの医療コンプライアンスに関する情報は、こちらから確認できます。