HIPAA への準拠

概要

HIPAA-sized

AWS のユーティリティベースのクラウドサービスを使用して PHI を処理、保存、転送している医療提供者、保険者、および IT 専門家は多くおり、その数は増え続けています。

AWS では、米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる事業体とその取引先が、安全な AWS 環境を活用して、保護された医療情報を処理、管理、および保存できるようにしています。

AWS では、AWS を活用して医療情報を処理および保存する方法の詳細をお知りになりたいお客様向けに、HIPAA 用のホワイトペーパーをご用意しています。ホワイトペーパー Creating HIPAA-Compliant Medical Data Applications with AWS では、企業が AWS を使用して HIPAA や HITECH へのコンプライアンスを促進するシステムを処理する方法について説明しています。

AWS のヘルスケア、ライフサイエンス顧客の皆様

  • HIPAA や HITECH とはなんですか?

    医療保険の相互運用性と説明責任に関する法令 (HIPAA) は 1996 年に制定されました。この法律は、労働者が転職や失業の際に医療保険の受給資格を簡単に維持できるようにするために作成されました。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

    電子医療記録の使用が増加したため、保護された医療情報 (PHI) のセキュリティとプライバシーを保護する条項が HIPAA に追加されました。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。この規則が適用される "対象となる事業体" には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。また、この法令では、PHI を保護する責任を "取引先" まで拡大しています。

    HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、"管理の簡素化" として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。HIPAA と HITECH による医療情報の保護に関する詳細については、http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html をご覧ください。

  • HITRUST とは何ですか?

    Health Information Trust Alliance (HITRUST) によると、HITRUST の Common Security Framework (CSF) は「規制コンプライアンスとリスク管理の包括的、柔軟かつ効率的なアプローチを組織に提案する認証フレームワークで、医療や情報セキュリティの専門家と共同開発し、医療関連の規制と標準を単一の包括的なセキュリティフレームワークにまとめて合理化したもの」です。

    HITRUST CSF は、HIPAA/HITECH などの連邦法、マサチューセッツ州などで制定されている州法、および COBITPCI-DSS といった非政府組織のフレームワークで定められたセキュリティ制御を、医療のニーズと用途に合わせてカスタマイズされた単一のフレームワークに統一するものです。

    AWS では、HIPAA、HITECH、および HITRUST CSF に合致した方法で医療関係のお客様のアプリケーションをサポートする、信頼性が高く、スケーラブルで低コストなコンピューティングプラットフォームを利用できます。

  • 事業提携契約 (BAA) とは何ですか?

    医療保険の相互運用性と説明責任に関する法令 (HIPAA) では、"取引先" を、対象となる事業体により雇用されているわけではないものの、対象となる事業体のために職務や活動を実施する、または対象となる事業体に特定のサービスを提供する個人や事業体と説明しています。また、HIPAA 規制における "取引先" には、対象となる事業体の取引先のために保護された医療情報を作成、受信、保守、または転送する下請業者も含まれており、AWS のようなクラウドサービスプロバイダーは取引先と見なされます。HIPAA の規則では、取引先が保護された医療情報を適切に保護することを定めた契約を、対象となる事業体と取引先の間で締結するよう要求されています。また、事業提携契約は、対象となる事業体と取引先の関係および取引先が実施している活動やサービスに基づいて、取引先による保護された医療情報の使用や開示 (適切な場合) の許可範囲を明示および制限するのにも役立ちます。AWS では、このような契約を事業提携契約と呼んでいます。

  • AWS では、HIPAA の規則と規制で説明されているように事業提携契約を締結しますか?

    はい。AWS では、お客様と締結する標準の事業提携契約をご用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。

    AWS Artifact を使用して、お客様のアカウントの事業提携契約 (BAA) の状況を確認、同意、および管理することができます。

    ステップバイステップビデオ
    エラーメッセージが表示されましたか?
    オフライン BAA
    オンライン BAA の終了
  • AWS は HIPAA の認証を受けていますか?

    AWS のようなクラウドプロバイダーに対する HIPAA 認証はありません。運用モデルに適用される HIPAA の要件を満たすために、AWS では、HIPAA セキュリティ規則に対応し、より高度なセキュリティ標準である FedRAMP と NIST 800-53 に合わせて、HIPAA リスク管理プログラムを調整しました。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に合わせる方法を文書化した、 SP 800-66、「An Introductory Resource Guide for Implementing the HIPAA Security Rule」を発行しています。

  • AWS と BAA を締結している場合、私の AWS アカウントでどのようなサービスを使用できますか?

    お客様は HIPAA アカウントとして指定されているアカウントで AWS のすべてのサービスをご使用いただけます。ただし、PHI を処理、保存、および転送できるのは、BAA で HIPAA 対応として定義されたサービス内のみです。HIPAA 対応サービスの最新のリストは、HIPAA 対応サービスのリファレンスページに掲載されています。

    AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 対応サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。PHI の保存や処理にこれらのサービスを使用していただくことにより、お客様のご要望に基づいて、ユーティリティベースの運用モデルに適用される HIPAA 要件についての対応を進めていくことが可能になります。AWS では、お客様の需要に基づいて、対応サービスの優先順位を決め、新しいサービスを追加しています。

    AWS の事業提携プログラムに関する詳細、または新しい対応サービスのリクエストについては、お問い合わせください

  • BAA を締結している AWS SaaS パートナーが医療提供者や対象となる他の事業体に SaaS ソリューションを販売する場合、それらの対象となる事業体と AWS の間でも BAA を締結する必要がありますか?

    いいえ。いくつかの革新的な HIPAA ソリューションパートナーが AWS で SaaS ソリューションを運用しているため、これはよく生じる状況です。この場合、SaaS パートナーと AWS の間では BAA が締結されているため、それぞれの医療提供者や対象となる事業体は SaaS パートナーのみと BAA を締結することになります。SaaS パートナーのソリューションを使用している対象となる事業体が HIPAA 関連のシステムについて AWS の直接のお客様でもある場合、その対象となる事業体には SaaS パートナーおよび AWS の両方と BAA を締結する必要が生じる可能性があります。

  • AWS HIPAA コンプライアンスプログラムの変更点

    2017 年 5 月 15 日より、AWS で事業提携契約 (BAA) に署名した AWS のお客様と APN パートナーは、Amazon EC2 専用インスタンスまたは専用ホストを使用して保護医療情報 (PHI) を処理する必要がなくなりました。これまでは、AWS HIPAA コンプライアンスプログラムでは、Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は、専用インスタンスまたは専用ホストを使用する必要がありました。この要件は削除されました。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »