HIPAA

概要

HIPAA-sized

AWS のユーティリティベースのクラウドサービスを使用して PHI を処理、保存、転送している医療提供者、保険者、および IT 専門家は多くおり、その数は増え続けています。

AWS では、米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる事業体とその取引先が、安全な AWS 環境を活用して、保護された医療情報を処理、管理、および保存できるようにしています。

AWS では、AWS を活用して医療情報を処理および保存する方法の詳細をお知りになりたいお客様向けに、HIPAA 用のホワイトペーパーをご用意しています。ホワイトペーパー Creating HIPAA-Compliant Medical Data Applications with AWS では、企業が AWS を使用して HIPAA や HITECH へのコンプライアンスを促進するシステムを処理する方法について説明しています。

ヘルスケアや生命科学分野に従事する AWS のお客様

  • HIPAA および HITECH とは何ですか?

    1996 年に制定された医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の労働者が転職や失業時に医療保険加入資格を維持しやすくするための法令です。また、電子医療記録の普及を促し、情報共有度を高めることにより米国医療制度の効率と質の向上も目指しています。

    電子医療記録の普及促進に加え、HIPAA には保護された医療情報 (PHI) のセキュリティとプライバシーを守る規定も盛り込まれています。PHI には個人を識別可能な医療データと医療関連データが幅広く含まれます。具体例として、保険や請求情報、診断データ、臨床ケアデータ、画像や試験結果などの検査結果が挙げられます。IPAA 規定の適用対象となる事業体には、患者や患者のデータを直接扱う病院、医療サービス業者、雇用主負担の医療プラン、研究施設、保険会社が含まれます。HIPAA では、PHI を保護する責任を「取引先」にまで拡大しています。

    経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) が 2009 年に制定され、HIPAA の規定の適用範囲は拡大しました。これら 2 つの連邦法には、PHI のセキュリティとプライバシーを保護するための一連の規定が定められています。その主なものとして、"管理の簡略化" ルールと呼ばれる規定が挙げられます。HIPAA と HITECH では、PHI の使用と開示、PHI の保護手段、個人の権利、管理責任に関する義務を課しています。

    HIPAA と HITECH に基づき医療情報が保護される仕組みについての詳細は、Health Information Privacy米国保健福祉省ウェブページをご覧ください。

  • HITRUST とは何ですか?

    The Health Information Trust Alliance(HITRUST) Common Security Framework (CSF) とは、"規制コンプライアンスとリスク管理に対し、組織が包括的、効率的かつ柔軟に対応する方法を提供する認証可能名枠組みと自らを定義しています。医療と情報セキュリティ専門家が協力して構築した HITRUST CSF では、医療関連規制と基準が単一の包括的セキュリティの枠組みにまとめられています。"

    HITRUST CSF は、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のStandards for the Protection of Personal Information of Residents of the Commonwealth)、非政府組織の枠組み (PCI Security Standards Council) に基づくセキュリティ制御を、医療ニーズに合わせてカスタマイズされる単一の枠組みに統一する役割を果たします。

    AWS が提供するスケーラブルで低コストの信頼性の高いコンピューティングプラットフォームは、HIPAA、HITECH、HITRUST CSF に準拠する形で、医療分野のお客様のアプリケーションをサポートします。

  • 事業提携契約とは何ですか?

    HIPAA 規則によると、AWS などのクラウドサービスプロバイダー (CSP) は事業提携者と見なされます。事業提携契約 (BAA) とは、HIPAA 規定に基づき必要とされる AWS 契約であり、保護された医療情報 (PHI) の AWS による適切な保護を保証します。BAA は、AWS とお客様との関係や AWS が実施する活動やサービスに基づき、AWS による PHI の許容される使用と開示を明確化および制限 (適宜) する役割も果たします。

  • AWS は、HIPAA 規定や規則に定めるとおり、事業提携契約を締結しますか?

    はい。AWS では標準的な事業提携契約 (BAA) を用意しており、お客様に提示して署名をいただいています。契約内容は、AWS が提供する固有サービスに応じて調整され、AWS 責任共有モデルに対応しています。

    お客様アカウントの BAA のステータスを確認、同意、管理するには、AWS マネジメントコンソール内の AWS Artifact にサインインしてください。アカウントにアクセスできない場合は、無料の IAM アカウントを管理者にリクエストし、Artifact IAM ポリシーへのアクセス権を求めてください。

    詳細な手順: AWS Artifact を使用し、組織内の複数のアカウントについて契約を受諾する方法をご確認ください (2:07)。

    AWS Artifact を使用してアカウントの契約を受諾する方法をご覧ください (1:39)。

  • AWS は HIPAA 認証を取得していますか?

    AWS などのクラウドサービスプロバイダー (CSP) 向けの HIPAA 認証はありません。当社運営モデルに適用される HIPAA 要件を満たすため、AWS では当社の HIPAA リスク管理プログラムを FedRAMP および NIST 800-53 といった HIPAA セキュリティ規定にマッピングされる高度なセキュリティ基準と適合させています。NIST ではこうした適合を支持しており、NIST 800-53 と HIPAA セキュリティ規定との適合方法を記録する SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Ruleを発行しています。

  • AWS と事業提携契約を締結する場合、AWS アカウントでどのようなサービスを利用できますか?

    お客様は、HIPAA アカウントと指定されるアカウントですべての AWS サービスを利用できますが、保護された医療情報 (PHI) を処理、保存、転送できるのは、事業提携契約 (BAA) で定められる HIPAA 対応サービス内に限られます。HIPAA 対応 AWS サービスの最新リストは、HIPAA 対応サービスのリファレンス ウェブページをご覧ください。

    AWS では、標準ベースのリスク管理プログラムに従い、HIPAA 対応サービスが HIPAA で義務付けられるセキュリティ、制御、管理プロセスを確実にサポートすることを保証しています。PHI を保存、処理する際にこうしたサービスを使用することにより、AWS とお客様は、当社のユーティリティベースの運用モデルに適用される HIPAA の要求事項に対処できます。AWS では、お客様の要求に基づき、新たな対応サービスの優先順位を決め、追加しています。

    当社の事業提携プログラムの詳細な情報を得る場合、または新たな対応サービスをリクエストする場合は、こちらからお問い合わせください。

  • SaaS パートナーとして AWS と BAA を締結しています。自社の SaaS ソリューションを医療機関などの対象事業体に販売していますが、こうした事業体も AWS と BAA を締結する必要がありますか?

    いいえ。AWS でサービスとしてのソフトウェア (SaaS) を運営している HIPAA ソリューションパートナーは多数存在するため、こうした状況は珍しくありません。お客様は、AWS SaaS パートナーとして、AWS と事業提携契約 (BAA) を締結します。次に各医療機関や適用事業体はお客様 (AWS SaaS パートナー) との BAA にのみ署名します。お客様の SaaS ソリューションを使用している適用事業体が HIPAA 関連システムで AWS と直接取引している場合、その適用事業体には、お客様および AWS と別々の BAA が必要となることがあります。

  • AWS HIPAA コンプライアンスプログラムでは、保護された医療情報を処理するために、Amazon EC2 専有インスタンスか専有ホストを使用する必要がありますか?

    AWS のお客様や AWS パートナーネットワーク (APN) のパートナーが AWS との事業提携契約 (BAA) に署名済みの場合、保護された医療情報 (PHI) を処理するために、Amazon Elastic Compute Cloud (EC2) 専有インスタンスか専有ホストを使用する必要はありません。過去、AWS HIPAA コンプライアンスプログラムでは、Amazon EC2 を使用して PHI を処理するお客様に専有インスタンスか専有ホストの使用という条件を課していましたが、2017 年 5 月 15 日以降、この条件は撤廃されています。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »