クラウド内におけるヘルスケアコンプライアンス
AWS は、Health Insurance Portability and Accountability Act (HIPAA: 医療保険の相互運用性と説明責任に関する法律) または Federal Risk and Authorization Management Program (FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム) などのフレームワークに規定されるプライバシーおよびセキュリティー義務に従って機密性の高いヘルスケア関連情報を保存、処理、および送信するアプリケーションを構築するためにご利用いただけます。以下では、ヘルスコンプライアンス取り組みについてお客様をサポートする上で AWS がどのように役立つかに関する追加情報をご覧いただけます。
AWS とデータプライバシー
AWS では、データプライバシーを非常に真剣に受け止めており、お客様の信頼を維持することを継続的にお約束しております。お客様には常に、サービスとコンテンツへのアクセスの管理をお願いしています。いかなる目的であっても、当社がお客様の同意なくカスタマーコンテンツにアクセスしたり、それを使用したりすることはありません。お客様は、カスタマーコンテンツを保存するリージョンを選択できます。当社がお客様の同意なしに、お客様が選択したリージョンの外にカスタマーコンテンツを移動したり複製したりすることはありません。
責任共有モデル
AWS でヘルスケアアプリケーションを構築する方法を理解するということはすなわち、責任共有モデルを理解するということです。AWS クラウドでは、セキュリティは AWS とお客様の間で共有されます。基盤となるインフラストラクチャの物理的なセキュリティといった特定のセキュリティ要素は、AWS の責任になります。アプリケーションの保護に使用されるセキュリティ対策など、その他のセキュリティ要素はお客様の責任になります。これは、従来のデータセンターでアプリケーションを実行していたときと変わりありません。
AWS と HIPAA コンプライアンス
AWS は、米国の Health Insurance Portability and Accountability Act (HIPAA: 医療保険の相互運用性と説明責任に関する法律) に基づいて規制されている機密ワークロードの実行に使用することができます。AWS のサービスに保護対象医療情報 (HIPAA によって定義) を含める予定の場合は、まず AWS 事業提携契約 (AWS BAA) に同意する必要があります。AWS BAA の確認、同意、およびステータスの確認は、AWS Artifact でご利用いただけるセルフサービスポータルを通じて行うことができます。
ヘルスケアアプリケーションでは任意の AWS のサービスをご利用いただけますが、HIPAA で定義される保護対象医療情報の保存、処理、および送信に使用できるサービスは、AWS BAA 対象のサービスに限定されます。
AWS コンプライアンスセンターで HIPAA に関するよくある質問を読む »
AWS と FedRAMP
Federal Risk and Authorization Management Program (FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム) は、クラウド製品およびサービスに対するセキュリティ評価、承認、および継続的なモニタリングのための標準アプローチを提供する米国政府全体のプログラムです。FedRAMP は、米国保健福祉省 (HHS) を含めたすべての米国連邦政府機関、およびすべてのクラウドサービスに義務付けられています。
2 つの個別の FedRAMP Agency Authorization (AWS GovCloud (米国) リージョン を包含するものと、AWS 米国東部/西部リージョンを包含するもの) が発行されています。
その他のヘルスケアコンプライアンスフレームワーク
AWS では、世界各国のコンプライアンスプログラムを対象とした、さまざまな認証とアテステーションを提供しています。お客様は、HITRUST Common Security Framework または Electronic Healthcare Network Accreditation Commission (EHNAC: 電子ヘルスケアネットワーク認定委員会) によって提供されるプログラムなどの追加のコンプライアンスプログラムに準拠するために、これらの認証とアテステーションを活用することができます。また、ヘルスケアコンプライアンスを専門とする AWS パートナーと提携することもできます。