Personal Health Information Act (ノバスコシア州)

概要

Personal Health Information Act (PHIA: 個人健康情報法) は、ノバスコシア州のプライバシーに関する法律で、個人健康情報の収集、使用、開示、保持、処分、破棄に関する定めがあります。PHIA では、個人が自らの健康情報を保護する権利、ならびに、医療の提供、支援、管理を目的に、管理者が個人健康情報を収集、使用、開示する必要性の両方を認めています。

AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、データが PHIA 法の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを確認できません。PHIA のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、PHIA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) など、複数のサービスで AWS カナダ (中部) リージョンをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページを参照してください。 

• PIPEDA、PIIDPA、PHIA とはどのような法律であり、 これらの法律の関係性はどのようなものですか。

  Personal Information Protection and Electronic Documents Act (PIPEDA: 個人情報保護および電子文書法) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門両方に適用される一般的なプライバシー法および個人医療情報に関するプライバシー法を独自に制定しています。Personal Information International Disclosure Protection Act (PIIDPA: 個人情報国際開示保護法) はノバスコシア州の州法であり、カナダ国外からの情報開示請求から、ノバスコシア州民の個人情報を保護するために制定されています。個人健康情報 (PHI) とは、PIIDPA の下で規定された、関連する一群の個人情報を指します。Personal Health Information Act (PHIA: 個人健康情報法) は、ノバスコシア州のプライバシーに関する法律で、管理中または管理者が扱う個人健康情報の収集、使用、開示、保持、処分、破棄に関する定めがあります。

  個人健康情報は、PHIA で詳しく定義される既往歴、法的資格、登録情報に関する個人情報に該当します、これは、その人物が存命か否かにかかわらず、また記録の有無に関係なく、個人を特定する情報であることを意味します。「管理者」は、PHIA で詳しく定義される職務上の権限や義務の行使により、またはこれに関連して、個人健康情報の管理や処理を担う個人または組織を指します。管理者には、規定の医療専従者、保険局、保険センター、審査委員会、薬局、Canadian Blood Services (カナダ血液サービス)、および PHIA で定められた継続医療提供施設が含まれます。

  AWS のお客様が PIIDPA、PHIA、カナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲については、お客様のビジネスによって異なります。

  その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、こちらの AWS ウェブサイトをご覧ください。

  お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。
  

• AWS で PHIA を遵守するにはどうすればいいですか?

  AWS のお客様は、PHIA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

  PHIA の対象となるお客様は、個人健康情報の収集、使用、開示、保持、処分、破棄に関する要件を遵守する義務を負います。AWS では、コンテンツの保護方法やアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する個人健康情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

  企業や組織が SOC、PCI、FedRAMP の認定または認可を受ける方法と同じ方法で、PHIA コンプライアンスの「認定」を正式に認める方法はありません。代わりに、AWS では、AWS によって確立され、運営されているポリシー、プロセス、対策に関する多くの情報をお客様に提供しています。AWS では、AWS コンプライアンスのリソースページでワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。
  

• 保存した医療情報に AWS がアクセスすることはありますか?

  AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、お客様によるコンテンツの管理およびアクセスのために、高度なアクセス機能、暗号化機能、ログ機能を提供しています。お客様から指示があった場合や、法律、または管轄権を持つ政府機関または規制機関の法的に有効で拘束力のある命令に従う必要がある場合を除き、AWS がカスタマーコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法的に禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではカスタマーコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーに関するよくある質問を参照してください。
  

• ノバスコシア州以外の場所またはカナダ以外の場所にデータを転送や保存することは PHIA で禁じられていますか。

  プライバシー法に準拠する必要があるお客様は、法律顧問に相談することをお勧めします。PHIA 法では、一定の要件を満たせば、管理者がノバスコシア州外で個人健康情報を保存または開示することを認めています。PIIDPA 法では、公的機関は、個人情報の保存および利用はカナダ国内で行うことを求められる場合があります。ノバスコシア州外またはカナダ国外へのデータの転送および保存が、PHIA または PIIDPA の定める安全およびプライバシーに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

  
  AWS のお客様は、PIPEDA またはカナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がお客様のコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。
  

• PHIA では医療情報を暗号化するように定められていますか?

  PHIA では、医療情報の暗号化については特定の要件を設けていません。ただし、PHIA の対象となる団体には、医療情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、医療情報は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨します。
  

• AWS の使用に関連したプライバシー影響評価を完了するための情報はどこで入手できますか。

  AWS では、AWS の環境およびセキュリティ制御を理解するのに役立つ、さまざまな資料を利用できます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) へのオンデマンドアクセスを提供しています。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスを提供しています。
  

• 自社の AWS 環境の監査およびログ記録はどのように実施すればいいですか?

  責任共有モデルの一環として、お客様は、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討する必要があります。AWS では、スケーラブルなログ記録を簡単に実行するサービスや、ログ分析のアーキテクチャを簡単に実装するサービスを提供しています。また、AWS Marketplace では、安全なログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でのログ記録の実装方法に関する詳細については、AWS セキュリティログ機能のページを参照してください。
  

• AWS を使用しているカナダ国内の他の医療組織の例はありますか?

  カナダの医療動向については、最新のブログ記事を参照してください。AWS クラウドでの医療コンプライアンスに関する情報は、こちらから確認できます。