FedRAMP(연방정부 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스의 보안 평가, 인증 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP는 미국 보건복지부를 비롯하여 모든 미국 연방 정부와 모든 클라우드 서비스에서 의무적으로 사용해야 합니다.

 두 개의 별도 FedRAMP 기관 인증을 획득했습니다. 하나는 AWS GovCloud(미국) 리전에 적용되고, 다른 하나는 AWS 미국 동부/서부 리전에 적용됩니다.

HITRUST CSF(클라우드 보안 프레임워크)는 미국 연방법(HIPAA, HITECH 등), 주법(매사추세츠의 주 거주자의 개인 정보 보호에 대한 표준), 공인된 비정부 규정 준수 표준(PCI DSS)의 다양한 측면을 기반으로 하는 보안 통제 항목을 의료 서비스 요구 사항에 맞게 조정된 단일 프레임워크로 통합하는 역할을 합니다.

특정 AWS 서비스는 승인된 HITRUST CSF 평가 기관을 통해 HITRUST CSF 보증 프로그램에 따라 HITRUST CSF v9.3 인증 기준을 충족하는 것으로 평가되었습니다.

고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 HIPAA 적격 서비스로만 개인 건강 정보(PHI)를 처리, 저장 및 전송해야 합니다.

미국 의료 정보 보호법(HIPAA)은 1996년에 제정되었으며, 미국 근로자가 직장을 옮기거나 잃었을 때 의료 보험을 좀 더 쉽게 유지할 수 있도록 고안되었습니다. 또한 전자 의료 레코드를 장려하여 개선된 정보 공유를 통해 미국 의료 서비스 시스템의 효율성과 품질을 높이고자 제정되었습니다.

2009년에는 경제적 및 임상적 건전성을 위한 의료정보기술에 관한 법(HITECH)에서 HIPAA 규칙을 확대했습니다. HIPAA 및 HITECH는 PHI의 보안 및 개인 정보 보호를 목적으로 함께 연방 표준을 수립했습니다. 이러한 조항은 "Administrative Simplification" 규칙으로 알려진 규칙에 포함되어 있습니다. HIPAA 및 HITECH는 PHI의 사용 및 공개, PHI를 보호하기 위한 적절한 보호 조치, 개인의 권리, 관리 책임과 관련된 요구 사항을 부과합니다.

개인 의료정보 보호법(PHIPA)은 온타리오의 개인정보 보호 법률이며 의료 서비스를 소개하고 제공하는 모든 과정에서 개인 의료정보(PHI)의 수집, 사용 및 공개하는 데 적용됩니다.

건강 및 사회 복지 클라우드 보안 - 우수 사례 가이드는 NHS Digital, NHS England, Department of Health and Social Care 및 NHS Improvement와 공동으로 작성되었습니다.

이 지침은 건강 및 사회 복지 조직에서 퍼블릭 클라우드에 기밀 환자 정보를 비롯한 건강 및 사회 복지 데이터를 안전하게 배치하는 데 필요한 보호 장치(오프쇼링 데이터를 활용하는 솔루션 포함)를 설명합니다.

AWS는 AWS에 배포되는 워크로드를 분류하여 규정 준수를 보장하고 등급에 적절한 제어를 구현하여 이를 지원합니다. ‘NHS 클라우드 보안 지침의 맥락에서 AWS 사용’ 백서에 조직이 수행할 세부적인 위험 관리 활동이 포함되어 있으며, 그 활동은 주로 필요한 보안 수준에 적합한 기술적 조치로 이루어집니다.

Hébergeur de Données de Santé(HDS) - 프랑스 정부 산하 보건 기구인 ‘Agence du Numérique en Santé(ANS)’에서 도입한 HDS(Hébergeur de Données de Santé)는 개인 의료 데이터의 보안과 보호를 강화하기 위해 마련한 인증입니다.

HDS 인증을 받으려는 IT 공급자는 ISO 27001 인증을 획득해야 합니다. 다시 말해 ISO 27001 인증이 적용되는 당사 서비스가 HDS의 범위에 포함된다는 뜻입니다. ISO/IEC 27001:2013 인증 범위에 포함되는 AWS 서비스는 ISO 인증 웹 페이지에서 확인하실 수 있습니다.  

DiGAV는 독일 보건 시스템의 디지털화를 지원하기 위해 2020년 4월에 도입되었습니다. DiGAV에 따라 특정 의료 서비스 애플리케이션은 독일 법정 건강 보험 제도 하에 환급 가능한 것으로 인식됩니다. 그러나 조직에서 DiGAV 규정을 준수하고 환급 자격을 얻으려면 해당 애플리케이션이 DiGAV 데이터 보호 요구 사항을 충족함을 입증해야 합니다. 예를 들어 개인 데이터는 유럽 경제 지역(EEA) 또는 유럽연합 일반 데이터 보호 규정(GDPR) 45조에 따라 유럽연합 집행위원회의 적정성 결정을 받은 국가 내에서만 처리되어야 합니다.

AWS는 의료 서비스 워크로드를 클라우드로 이전할 때 독일 디지털 공급법(DVG) 및 이와 관련된 디지털 건강 애플리케이션 조례(DiGAV)를 포함한 지역 규제 및 입법 요구 사항을 해결하는 데 도움이 되는 업계 최고 수준의 여러 도구를 제공합니다.

개인 정보 보호법(APPI)은 일본에서 개인 데이터를 취급할 때 적용되는 주요 법률입니다.

APPI는 개인 정보를 취급하는 모든 사업자(개인 및 법인)에 적용됩니다. 또한 APPI에서는 개인 정보와 개인 데이터를 구분하는데, APPI에서 정의하는 개인 정보는 개인 정보 데이터베이스의 일부가 됩니다. 사업자에 대한 의무 조항은 해당 사업자가 개인 정보 또는 개인 데이터를 획득, 사용 또는 제공하는지 여부에 따라 달라집니다.

AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS 레벨 1과 SOC 1, 2 및 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 서드 파티 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.

2012년 개인 데이터 보호법(PDPA)은 개인 데이터가 처리를 위해 국외로 전송되는 경우를 비롯하여 싱가포르의 개인 데이터 보호에 적용되는 법입니다. PDPA는 개인 데이터의 수집, 사용, 공개 및 보호를 관장합니다.

AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS 레벨 1과 SOC 1, 2 및 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 서드 파티 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.

AWS는 의료 데이터 공유를 사용하여 이전에 알려지지 않은 질병을 진단하는 것부터 새로운 바이러스를 식별하여 다른 팬데믹을 방지하는 것에 이르기까지, 영향을 미치기에 충분한 속도로 움직이는 데 필요한 기술과 다른 많은 중요한 기능을 제공하는 동시에 최고 수준의 보안 및 규정 준수 요구 사항을 충족할 수 있도록 고객을 지원함으로써 전 세계의 많은 의료 서비스 조직을 지원합니다. 일례로 싱가포르에서 싱가포르 공중 의료 서비스를 구동하는 기술을 공급하는 기관인 통합 건강 정보 시스템(IHiS)은 백신 접종 IT 시스템을 안전하게 확장하기 위해 AWS로 전환했고 아주 짧은 기간 안에 일 8천 건의 백신 접종이라는 초기 로드에서 4주 안에 하루 최고 8만 건의 백신 접종이라는 획기적으로 높은 로드를
지속할 수 있었습니다.