HITRUST CSF

概要

HITRUST

Health Information Trust Alliance 共通セキュリティフレームワーク (HITRUST CSF) は、GDPR、ISO、NIST、PCI、HIPAA といった国内でおよび国際的に受け入れられている標準と規制を活用し、包括的なセキュリティおよびプライバシーコントロールのベースラインのセットを形成するものです。

HITRUST が作成した HITRUST CSF アシュアランスプログラムには、組織とそのビジネスパートナーが一貫した漸進的なアプローチによってコンプライアンスを管理するための、一般的な要件、手法、ツールがまとめられています。このプログラムではさらに、ビジネスパートナーやベンダーが、複数の要件セットに対する対応状況の評価と報告を行えます。

AWS のお客様は、HITRUST CSF の要件に対応した方法で、AWS 環境の設計と実装を進め、AWS のサービスを使用できます。また、HITRUST CSF の検証による評価を通じて確立されている、AWS のサービスに対する特定のコントロールも活用できます。

  • HITRUST CSF と HIPAA の関係はどのようなものですか?

    HITRUST CSF では、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および広く認められた非政府コンプライアンス標準 (PCI DSS など) の各方面のセキュリティ管理が、医療関連のニーズに合った単一のフレームワークにまとめられています。

    1996 年に制定された、医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の連邦法です。HITRUST CSF のセキュリティ管理の一部は、HIPAA の要件に基づいています。HIPAA や関連法令がどのように適用されるかについては、AWS のお客様がそれぞれ法律顧問に相談する必要があります。

  • AWS は HITRUST 認定を受けていますか?

    AWS のサービスの一部は、HITRUST CSF アシュアランスプログラムに従って認定 HITRUST CSF 評価機関による評価を受け、HITRUST CSF v9.1 認定基準への適合が認められています。 サードパーティー監査人により監査を受け、HITRUST CSF で認証された AWS のサービスの詳細なリストは、コンプライアンスプログラムによる AWS 対象範囲内のサービスページでご覧になれます。必要に応じて、AWS Artifact から HITRUST CSF 証明書を閲覧、ダウンロードできます。

  • 自社の HITRUST CSF 準拠を達成するため、どのように AWS を活用できますか?

    AWS のお客様は、AWS 環境を設計および実装し、AWS のサービスを使用して HITRUST CSF の要件を満たすことができます。自社の HITRUST CSF 認定をサポートするため、AWS のサービスの AWS HITRUST CSF 認定の活用をご検討ください。AWS HITRUST CSF 認定を参照してください。さらに、AWS は AWS コンプライアンスリソースのウェブページでホワイトペーパーおよびベストプラクティスガイドを提供しています。

  • HITRUST CSF 認定取得を目指している場合や、既に認定を取得している場合、AWS アカウント内で使用できるのはどのサービスですか?

    HITRUST CSF 認定取得を目指す AWS のお客様は、AWS 環境を設計および実装し、AWS のサービスを使用して HITRUST CSF の要件を満たすことができます。対象となるサービスについて、自社の HITRUST CSF 認定をサポートするため、AWS HITRUST CSF 認定の活用をご検討ください。お客様は、HITRUST CSF 検証プロセスのサポートに AWS の HITRUST CSF 認定済みサービスを活用できます (例えば、対象サービスである AWS Key Management Service を使用して、自社 HITRUST CSF 環境のキーを管理できます)。HITRUST CSF 認定済みの AWS のサービスに関する最新の一覧は、コンプライアンスプログラムによる AWS 対象範囲内のサービスのウェブページを参照してください。HITRUST CSF 認定済みの AWS のサービスは、その多くが HIPAA 対応サービスでもあります。そうしたサービスについては、HIPAA 対応サービスのリファレンスのウェブページを参照してください。他の AWS のサービスについても、自社の HITRUST CSF 認定環境の一部として使用することが可能です。この場合、お客様がアプリケーションに対するサービスの適合性評価を自社で受ける必要があります。HITRUST CSF 環境で使用されるその他のサービスについては、それらのサービスに対する AWS セキュリティ認証と認定を AWS コンプライアンスプログラムのウェブページで参照してください。

  • HITRUST では医療情報の暗号化が要求されていますか?

    HITRUST 認定取得を目指す団体には、医療情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切かどうか判断する責任は、各団体に帰属します。AWS では、医療情報は常に暗号化した状態で保管および転送することを推奨しています。

  • AWS の顧客は AWS HITRUST 証明書を継承できますか?

    はい、AWS の顧客が使用する範囲に限り、サービスの AWS HITRUST CSF 証明書を継承でき、HITRUST Alliance ウェブサイトに説明されている制限を受けます。顧客が継承をリクエストするには、HITRUST ウェブページを参照する必要があります。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »