Personal Health Information Privacy and Access Act (個人健康情報保護閲覧法)

(ニューブランズウィック州)

概要

Personal Health Information Privacy and Access Act (個人健康情報保護閲覧法、NB PHIPAA) および一般要件は、ニューブランズウィック州のプライバシーに関する法律で、管理者が管理する、または取り扱う個人健康情報の収集、使用、開示、保護に適用されます。

AWS に保存するコンテンツの管理や閲覧については、常にお客様が制御します。AWS では、データが NB PHIPAA 法の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを閲覧または確認できません。NB PHIPAA のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、NB PHIPAA に定められている義務を満たす方法で、AWS 環境を設計および実装し、AWS のサービスを使用できます。

現在、AWS カナダ (中部) リージョンでは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) などの複数のサービスをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページを参照してください。

  • Personal Information Protection and Electronic Documents Act (個人情報保護および電子文書法、"PIPEDA") はカナダの連邦法であり、カナダ全州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門両方に適用される一般的なプライバシー法および個人健康情報に関するプライバシー法を独自に制定しています。Personal Health Information Privacy and Access Act, S.N.B.2009, c.P-7.05 ("NB PHIPAA") はニューブランズウィック州のプライバシー法で、ニューブランズウィック州内の特定の組織または個人 (NB PHIPAA では "管理者" と呼ばれる) が取り扱う個人健康情報の収集、使用、開示、保護、およびそうした情報を保護するために取るべき措置に適用されます。NB PHIPAA は、NB PHIPAA で次のように定義される個人健康情報に適用されます: 口頭または記録された形式の、個人に関する特定の情報が以下に該当する場合。(a) 個人の身体的または精神的な健康状態、家族歴、既往歴 (個人の遺伝情報も含む)、(b) 個人のメディケア番号を含む個人登録情報、(c) 個人への医療の提供に関するもの、(d) 個人の医療の支払いや資格に関する情報、または個人に関する医療補償の資格に関する情報、(e) 個人による身体器官や構成成分の提供、および検査や試験によって得られた身体器官や構成成分に関するもの、(f) 個人の代理意思決定者を特定するもの、(g) 個人の医療提供者を特定するもの。 管理者とは、"医療の提供、治療、医療システムの計画や管理、政府プログラムやサービスの適用などを提供または支援する目的で個人健康情報を収集、管理、使用する個人または組織" を意味します。NB PHIPAA で定義されているように、特に管理者の代理人または従業員ではない、公的機関および医療提供者が含まれます。

    AWS のお客様が PIPEDA、NB PHIPAA、カナダの他の州で制定された、その他のプライバシー要件の対象となるかどうか、および対象となる範囲は、お客様のビジネスによって異なります。

    その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、こちらの AWS ウェブサイトをご覧ください。

    お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。

  • AWS のお客様は、NB PHIPAA に定められている義務を満たす方法で、AWS 環境を設計および実装し、AWS のサービスを使用できます。

    NB PHIPAA の対象となるお客様は、個人健康情報の収集、閲覧、使用、開示、保護に関する要件を遵守する義務を負います。AWS では、コンテンツの保護方法やアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する個人健康情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

    企業や組織が SOC、PCI、FedRAMP の認定または認可を受ける方法と同じ方法で、NB PHIPAA コンプライアンスの "認定" を正式に認める方法はありません。代わりに、AWS では、AWS によって確立され、運営されているポリシー、プロセス、対策に関する多くの情報をお客様に提供しています。AWS コンプライアンスのリソースページではワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。

  • AWS に保存するコンテンツの管理や閲覧については、常にお客様が制御します。AWS では、お客様によるコンテンツの管理およびアクセスのために、高度なアクセス機能、暗号化機能、ログ機能を提供しています。お客様から指示があった場合や、法律、または管轄権を持つ政府機関または規制機関の法的に有効で拘束力のある命令に従う必要がある場合を除き、AWS がカスタマーコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法的に禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではカスタマーコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーに関するよくある質問を参照してください。

  • プライバシー法の遵守については、お客様の法律顧問に相談することをお勧めします。NB PHIPAA 法では、技術的かつ物理的な管理上の安全対策など、個人健康情報の管理や制御について適切に保護するために特定の対策を講じるよう管理者に求める場合があります。ニューブランズウィック州外で保存、閲覧、使用、開示する個人健康情報は、そのような保存、使用、開示を実行する前に、NB PHIPAA の定める何らかの義務の対象となる可能性があります。ニューブランズウィック州外またはカナダ国外へのデータの転送および保存が、NB PHIPAA の定める安全およびプライバシーに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

    AWS のお客様は、PIPEDA またはカナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がお客様のコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。

  • NB PHIPAA では、個人健康情報の暗号化については特定の要件を設けていません。ただし、NB PHIPAA の対象となる団体には、個人情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、個人健康情報は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨しています。

  • AWS では、AWS 環境およびセキュリティ制御を理解するのに役立つ、さまざまな資料をご利用いただけます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) へのオンデマンドアクセスを提供しています。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスも提供しています。

  • 責任共有モデルの一環として、お客様は、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討する必要があります。AWS では、スケーラブルなログ記録を簡単に実行するサービスや、ログ分析のアーキテクチャを簡単に実装するサービスを提供しています。また、AWS Marketplace では、安全なログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でのログ記録の実装方法に関する詳細については、AWS セキュリティログ機能のページを参照してください。

  • カナダの医療動向については、最新のブログ記事を参照してください。AWS クラウドでの医療コンプライアンスに関する追加情報は、こちらから確認できます。

ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »