HIPAA

概觀

有數量持續成長的醫療保健供應商、付款人和 IT 專業人員都使用以 AWS 公用事業為基礎的雲端服務來處理、存放和傳輸受保護醫療資訊 (PHI)。

AWS 讓受美國1996 年健康保險流通與責任法案 (HIPAA) 規範的涵蓋實體及其商業夥伴可以利用安全的 AWS 環境來處理、維護和存放受保護的醫療資訊。

如需如何使用 AWS 來處理和儲存醫療資訊的詳細資訊，請參閱 Amazon Web Services 上的 HIPAA 安全與合規架構白皮書。

AWS 醫療保健和生命科學客戶

• 什麼是 HIPAA 與 HITECH？

  美國 1996 年健康保險流通與責任法案 (HIPAA) 法規的目的在於讓美國勞工在轉換工作或失業時更容易保留健康保險。法規的另一個目的是鼓勵採用電子健康記錄，透過改善資訊共享提升美國健保系統的效率和品質。

  隨著電子病歷使用的增加，HIPAA 也包含對受保護的醫療資訊 (PHI) 安全和隱私提供保護的規定。PHI 包含各式各樣的個人識別健康資料以及和健康相關的資料，包括保險和帳單資訊、診斷資料、臨床護理資料，及影像等實驗室結果和測試結果。HIPAA 法規適用的涵蓋實體包含直接處理病患和病患資料的醫院、醫療服務提供者、雇主贊助的醫療計劃、研究機構和保險公司。HIPAA 保護 PHI 的要求也擴及商業夥伴。

  經濟與臨床健康資訊科技法 (HITECH) 於 2009 擴大了 HIPAA 法規的範圍。HIPAA 和 HITECH 共同建立了一套聯邦標準，旨在保護 PHI 的安全和隱私。這些規定包含在稱為「簡化管理」的規則中。HIPAA 和 HITECH 強制推行使用和公開 PHI 的相關需求、保護 PHI 的適當安全措施、個人權利和管理責任。

  如需 HIPAA 和 HITECH 如何保護醫療資訊的詳細資訊，請參閱美國衛生與公眾服務部門的 Health Information Privacy 網頁。
  

• 什麼是 HITRUST？

  健康資訊信賴聯盟 (HITRUST) 共通安全架構 (CSF) 對其本身的解釋為：「是一種可認證的架構，為組織提供全面、彈性且有效率的方式來遵守法律規定和進行風險管理。HITRUST CSF 由醫療保健和資訊安全專業人員共同開發，將醫療保健相關規範和標準合理地整合至一個多樣化的安全架構。」

  HITRUST CSF 將聯邦法 (如 HIPAA 和 HITECH)、州法 (如 Massachusetts Standards for the Protection of Personal Information of Residents of the Commonwealth) 和非政府架構 (如 PCI Security Standards Council) 的安全控制統一在一個針對醫療保健需求量身訂做的架構中。

  AWS 提供可靠、可擴展和價格低廉的運算平台，使用與 HIPAA、HITECH 和 HITRUST CSF 一致的方法支援醫療保健客戶運用。
  

• 什麼是商業夥伴增補合約？

  根據 HIPAA 法規的規定，AWS 這類雲端服務供應商 (CSP) 可視為商業夥伴。商業夥伴增補合約 (BAA) 是根據 HIPAA 法規的 AWS 合約，以確保 AWS 會適當地保護受保護的醫療資訊 (PHI)。BAA 也會根據 AWS 與我們客戶的關係以及 AWS 執行的活動或服務，適當地釐清並限制 AWS 對 PHI 允許的用途和揭露。
  

• AWS 是否會根據 HIPAA 法規和規定中所述，簽署商業夥伴增補合約？

  是。AWS 有標準的商業夥伴增補合約 (BAA)，我們將會提供給客戶簽章。它將 AWS 提供的特殊服務列入協定，並採用 AWS 共同的責任模型。

  若要查看、接受和管理您帳戶的 BAA 狀態，請登入 AWS 管理主控台中的 AWS Artifact。如果您沒有帳戶的存取權，請向管理員申請一個免費的 IAM 帳戶，並要求允許您存取 Artifact IAM 政策。
  

  逐步指南：了解如何使用 AWS Artifact 接受組織中多個帳戶的協議。(2:07)
  

  觀看如何使用 AWS Artifact 接受帳戶協議。(1:39)
  

• AWS 是否通過 HIPAA 認證？

  沒有適用於 AWS 這類雲端供應商 (CSP) 的 HIPAA 認證。為了符合我們操作模型適用的 HIPAA 需求，AWS HIPAA 風險管理計劃符合 FedRAMP 和 NIST 800-53，這兩者是映射至 HIPAA 安全規則的較高安全標準。NIST 支援符合這些標準且發佈 SP 800-66 實作 HIPAA 安全規則的基礎資源指南，其中闡述 NIST 800-53 如何符合 HIPAA 安全規則。

• 如果與 AWS 簽署商業夥伴增補合約，我的 AWS 帳戶可使用哪些服務？

  客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務，但他們只能在商業夥伴增補合約 (BAA) 定義的 HIPAA 合格服務中處理、存放和傳輸受保護醫療資訊 (PHI)。如需最新的符合 HIPAA 資格 AWS 服務的清單，請參閱 HIPAA 合格服務參考網頁。

  AWS 遵循符合標準的風險管理計劃，以確保 HIPAA 合格服務具體支援 HIPAA 要求的安全、控制和管理程序。使用這些服務存放和處理 PHI，可讓客戶和 AWS 滿足我們以公用事業為基礎之操作模型適用的 HIPAA 需求。AWS 優先考量客戶的需要並新增合格的服務。

  如需商業夥伴計劃的詳細資訊或要求新的合格服務，請聯絡我們。
  

• 我是簽署了 BAA 的 AWS SaaS 合作夥伴，我將我的 SaaS 解決方案銷售給醫療保健提供者或其他涵蓋實體。這些涵蓋實體也需要與 AWS 簽署 BAA 嗎？

  否。這是很常見的情況，許多 HIPAA 解決方案合作夥伴在 AWS 中執行他們的軟體即服務 (SaaS) 產品。您身為 AWS SaaS 合作夥伴，要與 AWS 簽署商業夥伴增補合約 (BAA)。然後，每個醫療保健提供者或涵蓋實體只會與身為 AWS SaaS 合作夥伴的您簽署 BAA。如果涵蓋實體使用的 SaaS 解決方案也是 AWS HIPAA 相關系統的直接客戶，則涵蓋實體可能需要與您建立一個 BAA，再與 AWS 建立另一個 BAA。
  

• AWS HIPAA 合規計劃是否要求我必須使用 Amazon EC2 專用執行個體或專用主機來處理受保護的醫療資訊？

  與 AWS 簽署商業夥伴增補合約 (BAA) 的 AWS 客戶和 Amazon 合作夥伴網路 (APN) 合作夥伴，不需要使用 Amazon Elastic Compute Cloud (EC2) 專用執行個體或專用主機來處理受保護醫療資訊 (PHI)。2017 年 5 月 15 日之前，AWS HIPAA 合規計劃要求使用 Amazon EC2 處理 PHI 的客戶必須使用專用執行個體或專用主機，但是現在已經沒有這個要求。