日本担当チームに問い合わせる

AWS を使用すれば、米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の規制に準拠した機密性の高いワークロードを実行できます。HIPAA で定義されている保護医療情報を含むアプリケーションを AWS のサービスで実行する計画がある場合は、AWS 事業提携契約 (AWS BAA) を承認する必要があります。事業提携契約 (BAA) の内容の確認、承認、およびステータスの確認は、AWS Artifact にご用意したセルフサービスポータルで行うことができます。

AWS のすべてのサービスをヘルスケアアプリケーションで使用できますが、HIPAA で定義されている保護医療情報の保存、処理、送信は、AWS BAA の対象となるサービスのみで行えます。

AWS BAA の対象となるサービスの最新の一覧を表示 »

HIPAA アプリケーション向けに AWS を使用することには、以下のいくつかの一般的な戦略が含まれます。

  • 処理や編成から保護データを非干渉化する
  • データフローでオートメーションが使用される部分を追跡する
  • 保護されたワークフローと一般的なワークフロー間に論理的な境界を持つ

一般的なアーキテクチャパターンの例を以下に示します。デューデリジェンスを実施して、実装する前に AWS またはお客様内部のコンプライアンス部門に問い合わせることが推奨されます。

 

例 1: PHI データと非 PHI データを Amazon Virtual Private Cloud (VPC) で分離します。右側の VPC はモバイルアプリケーションのテストに使用されていますが、左側の VPC では PHI が保存および処理されています。PHI は左側の VPC から右側の VPC には流れません。注: 左側の VPC は HIPAA ガイダンスと一致するように構築する必要があります。

Diagrams_Healthcare_hipaa_vpc

例 2: 間接的戦略。PHI を含む新しいオブジェクトが S3 Transfer Acceleration 経由で S3 に書き込まれると、S3 では AWS Lambda から Amazon SQS キューに適切なメタデータを書き込むようにシグナルがトリガーされます。Amazon EC2 で実行しているサービスで SQS キューがポーリングされ、新しいデータが利用可能であれば、S3 から PHI データが取得されます。2 番目の Lambda 関数では、データ処理が開始されたことを通知するモバイルアラートがトリガーされます。この例では、S3 と EC2 のみがすべての PHI データの保存、処理、転送に使用されます。Lambda と SQS は、サービスを調整する場合やジョブの開始時を通知する場合にのみ使用されます。

 

間接的戦略

AWS では、HIPAA 準拠アプリケーションの構築を希望されるお客様をサポートするために、以下のような多数の技術リソースを用意しています。

販売およびアーキテクチャ組織からのコンサルティングにより、お客様がご利用を開始するのをお手伝いできます。または、お客様が今すぐご自身で試験プログラムを開始することもできます。

AWS セールスに問い合わせる | AWS アカウントを作成する