Personal Health Information Protection Act (オンタリオ州)

概要

Personal Health Information Protection Act (PHIPA: 個人健康情報保護法) は、オンタリオ州のプライバシーに関する法律で、医療サービスを提供または促進する過程で行われる個人健康情報 (PHI) の収集、使用、開示に適用されます。

お客様は、常に、AWS に保存されているコンテンツを管理およびアクセスする方法を制御できます。AWS では、データが PHIPA 法の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを閲覧または確認できません。PHIPA のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、PHIPA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) など、複数のサービスで AWS カナダ (中部) リージョンをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページを参照してください。

• PIPEDA と PHIPA はどのようなものですか。 この 2 つの法律の関係はどのようなものですか。

  Personal Information Protection and Electronic Documents Act (PIPEDA: 個人情報保護および電子文書法) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門の両方に適用される全般的なプライバシー法および個人健康情報に関するプライバシー法を独自に制定しています。Personal Health Information Protection Act (PHIPA: 個人健康情報保護法) は、オンタリオ州のプライバシー法で、医療サービスを提供または促進する過程で行われる個人健康情報 (PHI) の収集、使用、開示に適用されます。

  AWS のお客様が PIPEDA、PHIPA、カナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲は、お客様のビジネスによって異なります。一般に、オンタリオ州の健康情報管理者とその代理人は、個人健康情報が関係する PHIPA の対象となります (そのビジネスの他の要素は、他のプライバシー法の対象となる可能性があります)。「健康情報管理者」という用語には、医療提供者 (医師、看護師など)、病院、長期の介護施設、特別治療施設、地域医療センター、Local Health Integration Network (LHIN)、薬局、医薬研究所、地域の保健医務官、救急車サービス、地域精神保健プログラム、Ministry of Health and Long-Term Care などが含まれます。

  その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、AWS の PIPEDA に関するページを参照してください。

  お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。
  

• AWS は PHIPA に準拠していますか。

  AWS のお客様は、PHIPA に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用できます。

  PHIPA の対象となるお客様は、PHI の収集、使用、開示について PHIPA の要件に準拠する責任を負います。AWS のサービスは、お客様のコンテンツを保護する方法の制御、そのコンテンツにアクセスできるユーザーの制御など、AWS を使用してお客様のコンテンツを保存または処理する方法をお客様が制御できるように構築されています。AWS では、お客様が AWS に保存する PHI のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

  企業や組織が SOC、PCI、FedRAMP の認定または認可を受ける方法と同じ方法で、PHIPA コンプライアンスの「認定」を正式に認める方法はありません。代わりに、AWS では、AWS によって確立され、運営されているポリシー、プロセス、対策に関する多くの情報をお客様に提供しています。AWS では、AWS コンプライアンスのリソースページでワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。お客様は、この情報を利用して、PHIPA に定められているセキュリティ要件を AWS が満たしているかどうかを評価できます。
  

• 米国の HIPAA に定められている事業提携契約のように、PHIPA では AWS との個別の契約または契約の修正が定められていますか。

  米国の HIPAA に定められている事業提携契約のように、お客様と AWS の間で契約を結ぶ必要があるという要件は PHIPA には定められていません。AWS の特定の契約条件が適用されるかどうかについて質問がある場合は、アカウント担当者にお問い合わせください。
  

• AWS は、お客様が AWS に保存した PHI にアクセスしますか。

  お客様は、常に、AWS に保存されているコンテンツを管理およびアクセスする方法を制御できます。AWS では、お客様がそのコンテンツを効果的に管理およびアクセスできるように、高度なアクセス機能、暗号化機能、ログ記録機能を提供しています。お客様から指示があった場合、法律、または管轄権を持つ政府機関または規制機関の有効で拘束力のある命令に従う必要がある場合を除き、AWS がお客様のコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法律で禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではお客様のコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーに関するよくある質問を参照してください。
  

• オンタリオ州以外の場所またはカナダ以外の場所にデータを転送や保存することは PHIPA で禁じられていますか。

  プライバシー法に準拠する必要があるお客様は、法律顧問に相談することをお勧めします。一般に、個人または組織がオンタリオ州またはカナダ以外の場所にデータを転送または保存することを明確に制限する要件は PHIPA に定められていません。ただし、PHIPA では PHI を保護するための措置を講じる必要があることが定められています。カナダ以外の場所にデータを転送および保存することが、PHIPA のセキュリティに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

  AWS のお客様は、カナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、お客様のコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がお客様のコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。
  

• PHIPA では PHI を暗号化するように定められていますか。

  PHIPA では、PHI の暗号化については特定の要件を設けていません。ただし、PHIPA の対象となる主体には、PHI を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、PHI は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨します。
  

• AWS の使用に関連したプライバシー影響評価を完了するための情報はどこで入手できますか。

  AWS では、AWS の環境およびセキュリティ制御を理解するのに役立つ、さまざまな素材が利用できます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) へのオンデマンドアクセスを提供しています。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスを提供しています。
  

• AWS 環境の監査およびログ記録はどのように実施すればよいですか。

  責任共有モデルに適合して、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討してください。実施に向け、AWS では、スケーラブルなログ記録を簡単に実行するサービスや、ログ分析アーキテクチャを簡素化するサービスを提供しています。また、AWS Marketplace では、安全なログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でのログ記録の実装方法に関する詳細については、AWS セキュリティログ機能のページを参照してください。
  

• AWS を使用しているカナダ国内の他の医療組織の例はありますか。

  カナダの医療動向については、最新のブログ記事を参照してください。AWS クラウドでの医療コンプライアンスに関する情報は、こちらから確認できます。