HIPAA

AWS のヘルスケアおよびライフサイエンス分野のお客様

よくある質問

• HIPAA および HITECH とは何ですか?

  1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の労働者が転職または失業したときに健康保険に加入できるようにすることを目的とした法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

  電子医療記録の使用が増加したため、保護された医療情報 (PHI) のセキュリティとプライバシーを保護する条項が HIPAA に追加されました。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。HIPAA が適用される対象となる事業体には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。PHI を保護するという HIPAA の要件は、取引先にも適用されます。

  HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。

  HIPAA および HITECH がどのようにして医療情報を保護しているかについての詳細は、米国保健社会福祉省の Health Information Privacy を参照してください。
  

• HITRUST とは何ですか?

  Health Information Trust Alliance (HITRUST) によると、HITRUST の Common Security Framework (CSF) は「規制コンプライアンスとリスク管理の包括的、柔軟かつ効率的なアプローチを組織に提案する認証フレームワークで、医療や情報セキュリティの専門家と共同開発し、医療関連の規制と標準を単一の包括的なセキュリティフレームワークにまとめて合理化したもの」です。

  HITRUST CSF は、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および非政府フレームワーク (PCI Security Standards Council など) からのセキュリティ管理を、医療関連のニーズ合わせて調整された単一のフレームワークに統一するのに役立ちます。

  AWS では、HIPAA、HITECH、および HITRUST CSF に合致した方法で医療関係のお客様のアプリケーションをサポートする、信頼性が高く、スケーラブルで低コストなコンピューティングプラットフォームを利用できます。
  

• 事業提携契約 (BAA) とは何ですか?

  HIPAA の規制では、AWS などのクラウドサービスプロバイダー (CSP) は取引先として認識されます。事業提携契約 (BAA) は、保護された医療情報 (PHI) を AWS が適切に保護することを保証するための AWS の契約で、HIPAA の規約で必須とされているものです。BAA はまた、必要に応じて、AWS とお客様との関係、および AWS が実行している活動またはサービスに基づいて、AWS による PHI の許容される使用および開示を適切に明確にし、制限します。
  

• AWS では、HIPAA の規則と規制で説明されているように事業提携契約を締結しますか?

  はい。AWS では、顧客と締結する標準の事業提携契約 (BAA) を用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。

  お客様のアカウントの BAA を確認、承諾、管理するには、AWS マネジメントコンソールの AWS Artifact にサインインしてください。アカウントにアクセスができない場合、担当の管理者から無償の IAM アカウントをリクエストし、Artifact IAM ポリシーへのアクセスを求めてください。
  

  Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org(2:07)
  

  AWS Artifact を利用してアカウントへの同意を得る方法をご覧ください。( 1:39 )
  

• AWS は HIPAA の認証を受けていますか?

  AWS のようなクラウドサービスプロバイダー (CSP) に対する HIPAA 認証はありません。運用モデルに適用される HIPAA の要件を満たすために、AWS では、HIPAA セキュリティ規則に対応し、より高度なセキュリティ標準である FedRAMP と NIST 800-53 に合わせて、HIPAA リスク管理プログラムを調整しました。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に合わせる方法を文書化した、SP 800-66、An Introductory Resource Guide for Implementing the HIPAA Security Ruleを発行しています。

• AWS と事業提携契約を締結している場合、AWS アカウントでどのようなサービスを使用できますか?

  お客様は HIPAA アカウントとして指定されているアカウントで AWS のすべてのサービスをご使用いただけます。ただし、保護された医療情報 (PHI) を処理、保存、および転送できるのは、事業提携契約 (BAA) で HIPAA 対応として定義されたサービス内のみです。HIPAA 対応の AWS サービスの最新のリストは、HIPAA 対応サービスのリファレンスウェブページに掲載されています。

  AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 対応サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。PHI の保存や処理にこれらのサービスを使用していただくことにより、お客様のご要望に基づいて、ユーティリティベースの運用モデルに適用される HIPAA 要件についての対応を進めていくことが可能になります。AWS では、お客様の需要に基づいて、対応サービスの優先順位を決め、新しいサービスを追加しています。

  AWS の事業提携プログラムに関する詳細、または新しい対応サービスのリクエストについては、お問い合わせください。
  

• 私は BAA を締結した AWS SaaS パートナーであり、SaaS ソリューションを医療提供者やその他の対象となる事業体に販売しています。これらの対象となる事業体と AWS の間でも BAA を締結する必要がありますか?

  いいえ。これはよく生じる状況で、多くの HIPAA ソリューションパートナーが AWS で Software as a Service (SaaS) を運用しています。AWS SaaS パートナーとして事業提携契約 (BAA) に署名している場合、それぞれの医療提供者や対象となる事業体は AWS SaaS パートナーであるお客様とのみ BAA を締結します。対象となる事業体がお客様の SaaS ソリューションを使用しており、HIPAA 関連のシステムにおける AWS の直接の顧客でもある場合、その対象となる事業体にはお客様および AWS の両方と BAA を締結する必要が生じる可能性があります。
  

• AWS HIPAA コンプライアンスプログラムでは、保護された医療情報の処理のために Amazon EC2 ハードウェア専有インスタンスあるいは Dedicated Host を使用する必要がありますか?

  AWS で事業提携契約 (BAA) に署名した AWS のお客様と APN パートナーは、保護医療情報 (PHI) を処理する際に Amazon Elastic Compute Cloud (EC2) ハードウェア専有インスタンスまたは専用ホストを使用する必要はありません。AWS HIPAA コンプライアンスプログラムでは、2017 年 5 月 14 日までは Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は専用インスタンスまたは専用ホストを使用する必要がありましたが、この要件は削除されました。