Act respecting the sharing of certain health information ( ケベック州)

概要

特定健康情報の共有に関する法律、CQLR、c P-9.0001（「ケベック法」）は、ケベック州での医療サービスの提供に関連する健康情報の収集、使用、開示に関するケベック州の最も関連性の高い法律です。ケベック州の法律は、プライマリケアサービスと一連のケアに不可欠であると考えられる健康情報の共有を可能にする情報資産の確立して、医療サービスと社会サービスの品質とセキュリティ、およびそれらのサービスへのアクセスの改善と、さらに、健康と社会情報の管理と制御した利用を可能にすることで、ケベック州の医療システムの品質、効率、パフォーマンスの改善を目指しています。本ページに記載されている情報に関するケベック法の公的機関が保有する文書へのアクセスと個人情報の保護 (Act respecting Access to documents held by public bodies and the Protection of personal information) , CQLR, c に関する法律に焦点を当ててますが、A-2.1 は、保健および社会制度、およびケベック州の民間セクターにおける個人情報の収集、使用、開示に関する法律を定めている民間部門に係る個人情報保護及び電子文書法 (Act Respecting the Protection of Personal Information in the Private Sector), CQLR, c P-39.1 にも適用されます。

AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、データがケベック法の対象となっているかどうかにかかわらず、お客様がネットワークにアップロードしているコンテンツを確認できません。ケベック法のコンプライアンスを確保する責任はお客様にあります。AWS のお客様は、ケベック法に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用することができます。

現在、AWS カナダ (中部) リージョンでは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) などの複数のサービスをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。カナダリージョンの料金については、製品とサービスのページにある各サービスの詳細ページをご参照ください。

• PIPEDA とケベック法はどのようなものですか? この 2 つの法律にはどのような関係がありますか?

  Personal Information Protection and Electronic Documents Act (個人情報保護および電子文書法) 、"PIPEDA" はカナダの連邦法であり、カナダ全州での商業活動における個人情報の収集、使用、開示に適用されます。カナダの特定の州では、公共部門と民間部門両方に適用される一般的なプライバシー法および個人健康情報に固有のプライバシー法を独自に制定しています。特定健康情報の共有に関するケベック州の法律 (Act Respecting the Protection of Personal Information in the Private Sector, CQLR, c P-9.0001) (ケベック法) は、ケベック州のプライバシーに関するものであり、プライマリケアサービスと継続的なケアに不可欠であると考えられる健康情報の共有を可能にする情報資産を確立し、医療サービスと社会サービスの品質とセキュリティ、およびそれらのサービスへのアクセスの改善と、さらに、健康と社会情報の管理と制御した利用を可能にすることで、ケベック州医療システムの品質、効率、パフォーマンスの改善を目指しています。ケベック法は、（ここで定義した）情報資産をホスト、運用、または使用する個人またはパートナーシップに適用されます。ケベック法 4 条に記されている通り、資産情報には、私立医院、薬局、専門医療センター、医療および社会サービスプロバイダーなどが含まれますが、これらに限定されるものではありません。「情報資産」は、ケベック法において「データベース、情報システム、通信システム、技術インフラストラクチャ、またはこれらの組み合わせ、または専門または高度に専門的な医療機器のコンピューターコンポーネント」と定義されています。

  AWS のお客様が PIPEDA、ケベック法、またはカナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲については、お客様のビジネスによって異なります。

  その他の組織も PIPEDA または州のプライバシー法の対象となる可能性があります。PIPEDA の詳細については、こちらの AWS ウェブサイトをご覧ください。

  お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。
  

• お客様は AWS のケベック法にどのように準拠できますか？

  AWS のお客様は、ケベック法に定められている義務を満たす方法で、AWS の環境を設計および実装し、AWS のサービスを使用することができます。

  ケベック法の対象となるお客様は、個人健康情報の管理、収集、閲覧、使用、開示、および保護に関する要件を遵守する義務を負いますあAWS では、コンテンツの保護方法およびアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存方法または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する医療情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

  法人が SOC、PCI、または FedRAMP の認定または認可を受ける方法と同じ方法で、ケベック法コンプライアンスの「認定」を正式に認める方法はありません。代わりに、AWS では、AWS によって確立および運用されているポリシー、プロセス、および管理に関する多くの情報をお客様に提供しています。AWS コンプライアンスのリソースページでは、ワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様は AWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。
  

• 保存した医療情報に AWS がアクセスすることはありますか?

  AWS に保存するコンテンツの管理やアクセスについては、常にお客様が制御します。AWS では、お客様によるコンテンツの管理およびアクセスのために、高度なアクセス機能、暗号化機能、ログ機能を提供しています。お客様から指示があった場合や、法律、または管轄権を持つ政府機関または規制機関の法的に有効で拘束力のある命令に従う必要がある場合を除き、AWS がカスタマーコンテンツにアクセスしたり、そのコンテンツを開示したりすることはありません。AWS がそうすることを法的に禁止されている場合を除き、または AWS のサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、AWS ではカスタマーコンテンツの開示に先立ってお客様に通知し、お客様が開示からの保護を求められるようにします。詳細については、データプライバシーに関するよくある質問をご参照ください。
  

• AWS のユーザーがケベック州外またはカナダ国外にデータを転送または保存することはケベック法で禁止されていますか?

  プライバシー法の遵守については、お客様の法律顧問に相談することをお勧めします。ケベック法では、技術的かつ物理的な管理上の安全対策など、医療情報の保管や制御について適切に保護するために特定の対策を講じるよう求める場合があります。ケベック州外またはカナダ国外で保存、閲覧、使用、または開示される健康情報は、そうしたケベック州外またはカナダ国外での保存、閲覧、使用、または開示に先立って、ケベック法に定められている特定の義務の対象となります。ケベック州外またはカナダ国外へのデータの転送および保存が、ケベック法の定めるセキュリティおよびプライバシーに関する義務を満たすかどうかについての判断は、それぞれのお客様の責任に帰属します。

  AWS のお客様は、PIPEDA またはカナダの他州の法律が適用されるかどうかを検討し、各法の定めるデータレジデンシーの制約を確認する必要があります。AWS のお客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、AWS がお客様のコンテンツを、お客様が選択したリージョンの外に移動または複製することはありません。
  
  

• ケベック法では医療情報の暗号化が要求されていますか?

  ケベック法では、医療情報の暗号化については特定の要件を設けていません。ただし、ケベック法の対象となる団体には、医療情報を保護するための措置を講じることが求められます。また、セキュリティ上の義務を満たすのに暗号化が適切であるかどうかについての判断は、それぞれのお客様の責任に帰属します。AWS では、医療情報は常に暗号化した状態で保存および転送することをベストプラクティスとして推奨します。
  

• AWS の使用に関連したプライバシー影響評価を完了するための情報はどうすれば入手できますか?

  AWS では、AWS の環境およびセキュリティ制御を理解するのに役立つ、さまざまな資料を利用できます。AWS では、AWS Artifact において、サードパーティーの監査レポート (SOC 1 レポートや SOC 2 レポートなど) にオンデマンドでアクセスできます。また、AWS コンプライアンスのリソースページでは、AWS でワークロードを安全に運用する方法に関するワークブック、ホワイトペーパー、ベストプラクティスを提供しています。

• 自社の AWS 環境の監査はどのように実施すればよいですか?

  責任共有モデルの一環として、お客様は、自社のコンプライアンス要件を十分に満たす方法で、AWS 環境全体の監査およびログ記録の実施を検討する必要があります。AWS では、スケーラブルなログ記録およびログ分析のアーキテクチャを簡単に実装できるサービスを提供しています。また、AWS Marketplace では、セキュリティログ記録ソリューションを提供する、さまざまなパートナーを見つけることができます。AWS でログ記録を実装する方法に関する詳細については、AWS セキュリティログ機能のページをご参照ください。
  

• カナダで AWS を使用している他の医療組織の例はありますか?

  カナダの医療動向については、最新のブログ記事をご参照ください。AWS クラウドでの医療コンプライアンスに関する追加情報は、こちらから確認できます。