AWS は、米国の Health Insurance Portability and Accountability Act (HIPAA: 医療保険の相互運用性と説明責任に関する法律) に基づいて規制されている機密ワークロードの実行に使用することができます。AWS のサービスに保護対象医療情報 (HIPAA によって定義) を含める予定の場合は、まず AWS 事業提携契約 (AWS BAA) に同意する必要があります。AWS BAA の確認、同意、およびステータスの確認は、AWS Artifact でご利用いただけるセルフサービスポータルを通じて行うことができます。

ヘルスケアアプリケーションでは任意の AWS のサービスをご利用いただけますが、HIPAA で定義される保護対象医療情報の保存、処理、および送信に使用できるサービスは、AWS BAA 対象サービスに限定されます。

AWS BAA 対象サービスの最新リストを表示する »

HIPAA アプリケーションのための AWS の使用は、以下に挙げるものを含めたいくつかの一般的な戦略に従うことを意味します。

  • 保護対象データを処理/オーケストレーションからデカップリングする
  • オートメーションを使用してデータのフロー先を追跡する
  • 保護対象ワークフローと一般的なワークフロー間に論理的な境界を設定する

以下は、一般的なアーキテクチャパターンの例です。デューデリジェンスを実施して、実装前に AWS または社内コンプライアンス部門に問い合わせることが推奨されます。

 

例 1:Amazon Virtual Private Cloud (VPC) を PHI と非 PHI データのために分離します。右側の VPC はモバイルアプリケーションのテストに使用され、左側の VPC は PHI の保存と処理を行っています。PHI が左側の VPC から右側の VPC にフローすることはありません。注意: 左側の VPC は、AWS の HIPAA ガイダンスに沿って設計される必要があります。

例 2: 間接戦略です。PHI が含まれる新しいオブジェクトが S3 Transfer Acceleration 経由で S3 に書き込まれると、S3 トリガーが AWS Lambda に対して Amazon SQS キューに適切なメタデータを書き込む信号を送ります。Amazon EC2 で実行されているサービスが SQS キューのポーリングを行い、新しいデータがある場合は、S3 からその PHI データをプルします。2 番目の Lambda 関数がモバイルアラートをトリガーし、データの処理が開始されたことを通知します。この例では、すべての PHI データの保存、処理、および送信に使用されるのは S3 と EC2 のみで、Lambda と SQS はサービスのオーケストレーション、およびジョブが開始される時間の通知のみに使用されます。

 

間接戦略

AWS では、HIPAA 準拠アプリケーションの構築を希望されるお客様をサポートするために多数のテクニカルリソースをご用意しています。これには以下が含まれます。

AWS は、セールスおよびアーキテクチャ部門によるコンサルティングでクラウドジャーニーを開始するお手伝いをします。お客様が今すぐ独自のパイロットプロジェクトを開始することも可能です。

AWS 日本担当チームに問い合わせる | AWS アカウントを作成する