クラウドにおける HIPAA について教えてください

 

 

AWS HIPAA

AWS のユーティリティベースのクラウドサービスを使用して PHI を処理、保存、転送している医療提供者、保険者、および IT 専門家は多くおり、その数は増え続けています。

AWS では、米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる事業体とその取引先が、安全な AWS 環境を活用して、保護された医療情報を処理、管理、および保存できるようにしています。

AWS では、AWS を活用して医療情報を処理および保存する方法の詳細をお知りになりたいお客様向けに、HIPAA 用のホワイトペーパーをご用意しています。ホワイトペーパー Creating HIPAA-Compliant Medical Data Applications with AWS では、企業が AWS を使用して HIPAA や HITECH へのコンプライアンスを促進するシステムを処理する方法について説明しています。

自分のアカウントにアクセスできませんか? 担当の管理者から無償の IAM アカウントをリクエストし、Artifact IAM ポリシーへのアクセスを求めてください。

ステップバイステップビデオ (2:15)

Security-Identity-Compliance_AWS Artifact

オフライン BAA (1:45)

Security-Identity-Compliance_AWS Artifact

エラーメッセージが表示されましたか? (0:55)

Security-Identity-Compliance_AWS Artifact

オンライン BAA の終了 (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

医療保険の相互運用性と説明責任に関する法令 (HIPAA) は 1996 年に制定されました。この法律は、労働者が転職や失業の際に医療保険の受給資格を簡単に維持できるようにするために作成されました。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

電子医療記録の使用が増加したため、保護された医療情報 (PHI) のセキュリティとプライバシーを保護する条項が HIPAA に追加されました。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。この規則が適用される "対象となる事業体" には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。また、この法令では、PHI を保護する責任を "取引先" まで拡大しています。

HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、"管理の簡素化" として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。HIPAA と HITECH による医療情報の保護に関する詳細については、http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html をご覧ください。

Health Information Trust Alliance (HITRUST) によると、HITRUST の Common Security Framework (CSF) は「規制コンプライアンスとリスク管理の包括的、柔軟かつ効率的なアプローチを組織に提案する認証フレームワークで、医療や情報セキュリティの専門家と共同開発し、医療関連の規制と標準を単一の包括的なセキュリティフレームワークにまとめて合理化したもの」です。

HITRUST CSF は、HIPAA/HITECH などの連邦法、マサチューセッツ州などで制定されている州法、および COBITPCI-DSS といった非政府組織のフレームワークで定められたセキュリティ制御を、医療のニーズと用途に合わせてカスタマイズされた単一のフレームワークに統一するものです。

AWS では、HIPAA、HITECH、および HITRUST CSF に合致した方法で医療関係のお客様のアプリケーションをサポートする、信頼性が高く、スケーラブルで低コストなコンピューティングプラットフォームを利用できます。例えば、あるお客様が AWS 内で作成した環境は、監査により HIPAA/HITECH へのコンプライアンスが認められ、HITRUST の認証も受けています。

医療保険の相互運用性と説明責任に関する法令 (HIPAA) では、"取引先" を、対象となる事業体により雇用されているわけではないものの、対象となる事業体のために職務や活動を実施する、または対象となる事業体に特定のサービスを提供する個人や事業体と説明しています。また、HIPAA 規制における "取引先" には、対象となる事業体の取引先のために保護された医療情報を作成、受信、保守、または転送する下請業者も含まれており、AWS のようなクラウドサービスプロバイダーは取引先と見なされます。HIPAA の規則では、取引先が保護された医療情報を適切に保護することを定めた契約を、対象となる事業体と取引先の間で締結するよう要求されています。また、事業提携契約は、対象となる事業体と取引先の関係および取引先が実施している活動やサービスに基づいて、取引先による保護された医療情報の使用や開示 (適切な場合) の許可範囲を明示および制限するのにも役立ちます。AWS では、このような契約を事業提携契約と呼んでいます。

はい。AWS では、お客様と締結する標準の事業提携契約を用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。

AWS Artifact を使用して、お客様のアカウントの事業提携契約 (BAA) の状況を確認、同意、および管理することができます。

AWS のようなクラウドプロバイダーに対する HIPAA 認証はありません。運用モデルに適用される HIPAA の要件を満たすために、AWS では、HIPAA セキュリティ規則に対応し、より高度なセキュリティ標準である FedRAMP と NIST 800-53 に合わせて、HIPAA リスク管理プログラムを調整しました。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に合わせる方法を文書化した、SP 800-66、「An Introductory Resource Guide for Implementing the HIPAA Security Rule」を発行しています。

お客様は HIPAA アカウントとして指定されているアカウントで AWS のすべてのサービスをご使用いただけます。ただし、PHI を処理、保存、および転送できるのは、BAA で HIPAA 対応として定義されたサービス内のみです。HIPAA 対応サービスの最新のリストは、HIPAA 対応サービスのリファレンスページに掲載されています。

AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 対応サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。PHI の保存や処理にこれらのサービスを使用していただくことにより、お客様のご要望に基づいて、ユーティリティベースの運用モデルに適用される HIPAA 要件についての対応を進めていくことが可能になります。AWS では、お客様の需要に基づいて、対応サービスの優先順位を決め、新しいサービスを追加しています。

AWS の事業提携プログラムに関する詳細、または新しい対応サービスのリクエストについては、お問い合わせください

いいえ。いくつかの革新的な HIPAA ソリューションパートナーが AWS で SaaS ソリューションを運用しているため、これはよく生じる状況です。この場合、SaaS パートナーと AWS の間では BAA が締結されているため、それぞれの医療提供者や対象となる事業体は SaaS パートナーのみと BAA を締結することになります。SaaS パートナーのソリューションを使用している対象となる事業体が HIPAA 関連のシステムについて AWS の直接のお客様でもある場合、その対象となる事業体には SaaS パートナーおよび AWS の両方と BAA を締結する必要が生じる可能性があります。

2017 年 5 月 15 日より、AWS で事業提携契約 (BAA) に署名した AWS のお客様と APN パートナーは、Amazon EC2 専用インスタンスまたは専用ホストを使用して保護医療情報 (PHI) を処理する必要がなくなりました。これまでは、AWS HIPAA コンプライアンスプログラムでは、Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は、専用インスタンスまたは専用ホストを使用する必要がありました。この要件は削除されました。

AWS では、AWS を活用して医療情報を処理および保存する方法の詳細をお知りになりたいお客様向けに、HIPAA 用のホワイトペーパーをご用意しています。AWS を使用した HIPAA 準拠の医療データアプリケーションの作成のホワイトペーパーでは、企業が HIPAA や HITECH へのコンプライアンスを容易にするシステムを処理するための AWS の使用方法について説明しています。

HIPAA のリソース

 

お問い合わせ