Hébergeur de Données de Santé

HDS 認証は、フランス国民の医療データをクラウドでホストしたい企業に必要な情報セキュリティの保証を提供します。

2024 年に Agence du Numérique en Santé (ANS) によって導入された HDS バージョン 2.0 は、フランスの法令によって規制される個人医療データのセキュリティと保護を強化します。主な変更点には次が含まれます:

• 医療データの保存 (Activity 1 および 2) は、欧州経済領域 (EEA) 内でのみ行われることを義務付けるデータ主権要件。
• 補助処理者および欧州以外の法制度にさらされる可能性に関する透明性の向上に関する義務の強化。
• 欧州のサイバーセキュリティ標準への準拠と、強化されたデータポータビリティ/可逆性の要件。

責任共有モデルに基づいて、HDS バージョン 2.0 の影響を含め、お客様自身のコンプライアンス要件を評価するのはお客様の責任です。HDS 要件は、ANS のウェブサイトでご覧いただけます。

HDS v1.1 認証は、移行監査を通じて取得した v2.0 認証に置き換えられました。AWS は現在、最新の v2.0 フレームワークに基づいて認証されています。

はい。AWS は 27 のリージョンで HDSv2 認証を取得しています。Activity 1 および 2 の EEA データレジデンシー要件の対象となるお客様については、6 の EEA リージョン (フランクフルト、アイルランド、ミラノ、パリ、ストックホルム、スペイン) により、2026 年 5 月 16 日の強制移行期限後も中断なくコンプライアンスが維持されます。認証済みの 27 のリージョンすべてが、Activity 3～6 について適格のままとなります。

AWS は 2026 年 4 月 21 日に HDSv2 認証を取得し、HDS フレームワークの 6 つのアクティビティすべてをカバーしています:

• Activity 1 および 2 – 物理インフラストラクチャ (EEA リージョンのみ)
      1.医療データの処理に使用される情報システムの物理インフラストラクチャをホストするための、ハードウェアサイトの運用状態におけるプロビジョニングおよびメンテナンス。
      2. 医療データの処理に使用される情報システムのハードウェアインフラストラクチャの運用状態におけるプロビジョニングおよびメンテナンス。
• Activity 3～6 – 仮想インフラストラクチャ、プラットフォーム、運用、バックアップ (認証済みの 27 のリージョンすべて)
      3. 医療データの処理に使用される情報システムの仮想インフラストラクチャの運用状態におけるプロビジョニングおよびメンテナンス。
      4. 情報システムアプリケーションをホストするためのプラットフォームの運用状態におけるプロビジョニングと保守。
      5. 医療データを含む情報システムの管理および運用。
      6. 医療データのバックアップ。

重要 – 物理ホスティングにおけるデータレジデンシー (Activity 1 および 2): HDSv2 フレームワークでは、Activity 1 および 2 において、医療データは欧州経済領域 (EEA) 内にのみ物理的に保存されることが必須となっています。これは、HDS 要件の対象となる場合、保管中の医療データは、以下の EEA リージョンのいずれかに保存されている必要があることを意味します。Activity 3～6 (仮想インフラストラクチャ、プラットフォームホスティング、管理/運用、バックアップ) は、この地理的制限の対象外であり、認証済みのどのリージョンからでも提供できます。

欧州 (EEA) – すべての Activity (1～6) について適格

• 欧州 (フランクフルト、ドイツ)
• 欧州 (アイルランド)
• 欧州 (ミラノ、イタリア)
• 欧州 (パリ、フランス)
• 欧州 (スペイン)
• 欧州 (ストックホルム、スウェーデン)

欧州 (EEA 以外) – Activity 3～6 についてのみ適格

• 欧州 (ロンドン、英国)
• 欧州 (チューリッヒ、スイス)

南北アメリカ – Activity 3～6 についてのみ適格

• 米国東部 (バージニア北部)
• 米国東部 (オハイオ)
• 米国西部 (オレゴン)
• 米国西部 (北カリフォルニア)
• カナダ (中部)
• カナダ西部 (カルガリー)
• 南米 (ブラジル、サンパウロ)

アジアパシフィックおよびオセアニア – Activity 3～6 についてのみ適格

• アジアパシフィック (東京、日本)
• アジアパシフィック (シドニー、オーストラリア)
• アジアパシフィック (メルボルン、オーストラリア)
• アジアパシフィック (シンガポール)
• アジアパシフィック (ムンバイ、インド)
• アジアパシフィック (ソウル、韓国)
• アジアパシフィック (香港)
• アジアパシフィック (ジャカルタ、インドネシア)
• アジアパシフィック (大阪、日本)
• アジアパシフィック (ハイデラバード、インド)

中東およびイスラエル – Activity 3～6 についてのみ適格

• 中東 (ドバイ、UAE)
• イスラエル (テルアビブ)

HDS 認証を取得するには、IT プロバイダーは ISO 27001 認証を取得している必要があります。AWS ISO 27001 認証によってカバーされるサービスは、HDS の対象に含まれます。ISO/IEC 27001:2022 の対象となる AWS サービスは、ISO 認証ウェブページでご確認いただけます。

責任共有モデルにあるとおり、お客様自身のコンプライアンス要件を評価するのはお客様の責任になります。詳細は、ANS のウェブサイトをご覧ください。HDS 標準は、ANS ウェブサイトでご覧いただけます。

責任共有モデルにあるとおり、AWS の HDS 認証は「クラウドのセキュリティ」を実証するものです。このため、お客様は独自の HDS 認証プロセスで「クラウドにおけるセキュリティ」に関する項目にリソースを集中させることができます。

はい。AWS HDSv2 証明書は AWS Artifact からダウンロードできます。認定ホストのリストは、ANS ウェブサイトでご覧いただけます。

AWS European Sovereign Cloud は、現時点では HDS v2.0 認証の対象範囲外です。同リージョンは、基礎的なコンプライアンス認証 (ISO 27001、SOC 2、C5) を取得済みであり、AWS は HDS 認証の対象範囲にこのリージョンを追加すること検討しています。今後のアップデートについては、追ってお知らせします。

HDS 認証ホスティング業務に関与しているすべての処理者に関する一元的なリファレンスは、AWS 補助処理者ページでご覧いただけます。さらに、お客様は ANS ウェブサイトを通じて認証の検証にアクセスできます。このサイトでは、HDS 認証ホスティング業務に関与している補助処理者の公式認証ステータスと詳細を提供しています。

これにより、お客様は、AWS の HDS 準拠のインフラストラクチャ内で医療データを扱うすべての補助処理者のコンプライアンスと認証のステータスを、明確かつ一元的に確認できます。

AWS は包括的なデータポータビリティと顧客制御メカニズムを維持しているため、お客様は複数の業界標準形式で医療データを取得し、適切に文書化された方法を用いてワークロードを移行できます。

顧客データの所有権とコントロール

AWS の 責任共有モデル、AWS カスタマーアグリーメント (第 6.1 項)、および HDS v2 補遺 (第 12 項) に基づき、お客様は、コンテンツの完全な所有権とコントロールを保持します。AWS は、AWS のサポートを必要とせずに、ネイティブサービス機能を使用していつでもデータを取得できる機能を提供します。

主なデータポータビリティ機能

• 契約条項: French Public Health Code では、医療データホストとそのクライアント間で特定の契約条件を締結することが義務付けられています。AWS のお客様は、AWS データ処理補遺条項 (AWS DPA) および該当する特定の条項をご覧ください。
• ヘルスケアおよびライフサイエンス: AWS は、ヘルスケア分野向けのリファレンスアーキテクチャ、ベストプラクティスに関するガイド、および専門ソリューションを提供しています。詳細については、AWS for Health をご覧ください。
• ヘルスケア向け AWS Landing Zone アクセラレーター: HDS 準拠インフラストラクチャをデプロイするためのリファレンス実装。GitHub で詳細をご覧ください。