Federal Risk and Authorization Management Program (FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム) は、クラウド製品およびサービスに対するセキュリティ評価、承認、および継続的なモニタリングのための標準アプローチを提供する米国政府全体のプログラムです。FedRAMP は、米国保健福祉省 (HHS) を含めたすべての米国連邦政府機関、およびすべてのクラウドサービスに義務付けられています。

 2 つの個別の FedRAMP Agency Authorization (AWS GovCloud (米国) リージョンを包含するものと、AWS 米国東部/西部リージョンを包含するもの) が発行されています。

HITRUST CSF (Cloud Security Framework) では、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および広く認められた非政府コンプライアンス標準 (PCI DSS など) の各方面のセキュリティ管理が、医療関連のニーズに合った単一のフレームワークにまとめられています。

AWS のサービスの一部は、HITRUST CSF アシュアランスプログラムに従って認定 HITRUST CSF 評価機関による評価を受け、HITRUST CSF v9.3 認定基準への適合が認められています。

お客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS のサービスを使用できますが、HIPAA 適格サービスで保護対象保健情報 (PHI) のみを処理、保存、および送信する必要があります。

1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の労働者が転職または失業したときに健康保険に加入できるようにすることを目的とした法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。

Personal Health Information Protection Act (PHIPA: 個人健康情報保護法) は、オンタリオ州のプライバシーに関する法律で、医療サービスを提供または促進する過程で行われる個人健康情報 (PHI) の収集、使用、開示に適用されます。

医療および社会福祉のクラウドセキュリティ - グッドプラクティスガイドは、NHS Digital、NHS England、Department of Health and Social Care、NHS Improvement によって共同で作成されました。

このガイダンスは、医療機関および社会福祉機関が、患者の機密情報を含む医療データおよび社会福祉データを、データのオフショアリングを利用したソリューションを含むパブリッククラウドに安全に配置できるように、実施すべきセーフガードを説明しています。

AWS は、AWS にデプロイされているワークロードを分類することでコンプライアンスを実現し、クラスに応じた制御を実施することでサポートしています。ホワイトペーパー「NHS のクラウドセキュリティガイダンスに基づく AWS の使用」には、組織が実施すべき詳細なリスク管理活動が記載されており、必要なセキュリティレベルに適した技術的対策を中心に構成されています。

Hébergeur de Données de Santé (HDS) - フランス政府の保健機関である「Agence du Numérique en Santé」(ANS) によって導入された HDS (Hébergeur de Données de Santé) 認証は、個人の健康データのセキュリティおよび保護を強化することを目的としています。

HDS 認証を取得するには、IT プロバイダーは ISO 27001 認証を取得している必要があります。これは、ISO 27001 認証の対象となるサービスが HDS の範囲に含まれることを意味します。ISO/IEC 27001:2013 認証範囲内にある AWS のサービスは、ISO 認証ウェブページでご確認いただけます。  

DiGAV は、ドイツの医療システムのデジタル化をサポートするため、2020 年 4 月に導入されました。DiGAV により、ドイツの法定健康保険制度の下で、特定の医療申請が還付対象として認められるようになりました。ただし、組織が DiGAV に準拠し、DiGAV を通じた払い戻しの資格を得るためには、申請書が DiGAV データ保護要件に適合していることを証明する必要があります。 それには、個人データが欧州経済地域 (EEA) または EU 一般データ保護規則 (GDPR) 第 45 条に基づき欧州委員会が妥当性を決定した国においてのみ処理されることを含みます。

AWS は、お客様がヘルスケアのワークロードをクラウドに移行する際に、ドイツのデジタル供給法 (DVG) や関連するデジタルヘルスアプリケーション条例 (DiGAV) など、地域の規制や法的要件への対応をサポートする業界最先端のツールを多数提供しています。

個人情報の保護に関する法律 (APPI) は日本の個人データを扱う主要な法律です。

APPI は、個人情報を扱うすべての事業者 (個人および団体) に適用されます。APPI では、個人情報と個人データ (APPI が個人情報データベースの一部を構成する個人情報として定義する) も区別します。事業者に課される義務は、事業者が個人情報または個人データを取得、利用、または提供するかどうかによって異なります。

AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、 2、および 3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。

個人情報保護法 2012 (PDPA) は、シンガポールでの個人データの保護に適用される法律で、個人データが処理のために国外に転送される場合も対象になります。PDPA では、個人データの収集、使用、開示、保護を管理しています。

AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、 2、および 3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。

AWS は、影響力を持つために必要なスピードで動くためのテクノロジーを提供することで、世界中の多くの医療組織をサポートしています (医療データの共有による未知の病気の診断から、新たなパンデミックを防ぐための新型ウイルスの特定、その他多くの重要な機能まで)。同時に、お客様が最高のセキュリティとコンプライアンス要件を満たすことを可能にします。一例として、シンガポールの公共医療を支える実現技術を提供する機関である、シンガポールの Integrated Health Information Systems (IHiS) が挙げられます。IHiS は、ワクチン接種業務の IT システムを安全にスケールし、1 日 8,000 件の接種という初期負荷から 4 週間で 1 日 80,000 件の接種というピーク負荷まで、非常に短期間で大幅に高い負荷に耐えうるようにすべく、
AWS を採用しました。