プライバシーおよびセキュリティの義務に準拠した、医療関連の機密情報を保存、処理、送信するアプリケーションを構築します。
AWS では、セキュリティとプライバシーが最優先事項です
特にヘルスケア業界向けには、私たちは多くのグローバル認証および証明 (HIPAA、HITRUST、GDPR など) を提供しており、お客様の最も機密性の高いデータをクラウドで保存、処理、送信し、セキュリティとコンプライアンス方針を向上させることが可能です。
ロールと責任
AWS に保存されたお客様のデータは、お客様のデータです。私たちのセキュリティ共有モデルにより、お客様のデータの所有権と管理権は常にお客様にあることが保証されます。私たちは、ヘルスケアデータを保護し、容易に利用できるようにするための堅牢な一連のソリューションを提供します。AWS は、130 以上の HIPAA 対象サービスへのアクセスを提供し、GDPR、HITRUST、ENS High、HDS、C5 などのサポートを含む、業界関連のグローバル IT およびコンプライアンス規格の多数の認証を提供しています。また、他のクラウドプロバイダーの 2 倍のアベイラビリティーゾーンを持つため、医療機関は AWS のスケール、セキュリティ、および信頼性の利点を受けることができます。
AWS とデータプライバシー
AWS では、データプライバシーを非常に真剣に受け止めており、お客様の信頼を維持することを継続的にお約束しております。お客様には常に、サービスとコンテンツへのアクセスの管理をお願いしています。いかなる目的であっても、当社がお客様の同意なくカスタマーコンテンツにアクセスしたり、それを使用したりすることはありません。お客様は、カスタマーコンテンツを保存するリージョンを選択できます。お客様の同意なしに、当社がカスタマーコンテンツを、お客様が選択したリージョンの外に移動したり複製したりすることはありません。
責任共有モデル
AWS でヘルスケアアプリケーションを構築する方法を理解するということはすなわち、責任共有モデルを理解するということです。AWS クラウドでは、セキュリティは AWS とお客様の間で共有されます。これは、セキュリティの特定の要素 (基盤となるインフラストラクチャの物理的なセキュリティなど) が、AWS の責任になったことを意味します。その他のセキュリティ要素 (アプリケーションの保護に使用されるセキュリティ対策など) はお客様の責任になります。これは、従来のデータセンターでアプリケーションを実行していたときと変わりありません。
AWS ヘルスケアコンプライアンスアラインメント/フレームワーク
- AWS コンプライアンス認証は、「クラウドのセキュリティ」と「AWS のコントロールの運用効果」を証明するものです。 クラウドにおけるセキュリティはお客様の責任です。
- お客様はこれらのコンプライアンス認証を継承し、監査人や規制当局に対してコンプライアンスの一部を証明するために使用することができます。
コンプライアンス認証および証明は、サードパーティーである独立した監査人によって評価され、その結果としてコンプライアンス認証、監査報告、または証明が発行されます。
AWS のお客様は、適用されるコンプライアンスに関する法律および規制に準拠する責任があります。場合によっては、お客様のコンプライアンスをサポートするために、AWS から機能 (セキュリティ機能など)、支援ドキュメント、法的な契約書 (AWS データ処理契約や事業提携契約など) が提供されます。
これらの法律および規制の範囲内で、クラウドサービスプロバイダーに対する (またはクラウドサービスプロバイダーから配布できる) 正規の認証はありません。
コンプライアンスの準拠とフレームワークには、特定の業界または機能など、特定の目的のために公開されたセキュリティまたはコンプライアンス要件が含まれます。このような種類のプログラムに対しては、AWS から機能 (セキュリティ機能など) およびサポートドキュメント (コンプライアンス計画書、マッピングドキュメント、ホワイトペーパーなど) が提供されます。
規制遵守についての議論では、責任共有モデルについて言及することが重要です。AWS は最先端の技術を導入し、可能な限りグローバルおよびリージョナルに業界標準の認証と証明を取得し、業界のフレームワークと連携して、ヘルスケアコンプライアンスに対応した AWS のサービスの準拠する実装を容易にできるように支援します。 また、責任共有モデルの下、お客様はそのリージョンのヘルスケアコンプライアンスニーズに対応するためのコンプライアンスコントロールと機能を継承することができます。
以下の情報は、代表的な認証、ヘルスケア関連法令、関連フレームワークです。
主要な認定および証明
ISO 9001
ISO 27001、27017、27018
SOC 1、2、3
PCI DSS レベル 1
FedRAMP
Cyber Essentials Plus
DoD SRG
ヘルスケア関連法令 - 規制とプライバシー
GDPR
HIPAA
HITECH
PDPA-2012 (シンガポール)
PIPEDA (カナダ)
プライバシー法 (オーストラリア)
PDPA-2010 (マレーシア)
主要なアラインメントおよびフレームワーク
クラウドセキュリティアライアンス (CSA)
EU-US Privacy Shield
NIST
BioPhorum IT コントロール
米国
AWS と FedRAMP
Federal Risk and Authorization Management Program (FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム) は、クラウド製品およびサービスに対するセキュリティ評価、承認、および継続的なモニタリングのための標準アプローチを提供する米国政府全体のプログラムです。FedRAMP は、米国保健福祉省 (HHS) を含めたすべての米国連邦政府機関、およびすべてのクラウドサービスに義務付けられています。
2 つの個別の FedRAMP Agency Authorization (AWS GovCloud (米国) リージョンを包含するものと、AWS 米国東部/西部リージョンを包含するもの) が発行されています。
AWS & HITRUST コンプライアンス
HITRUST CSF (Cloud Security Framework) では、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および広く認められた非政府コンプライアンス標準 (PCI DSS など) の各方面のセキュリティ管理が、医療関連のニーズに合った単一のフレームワークにまとめられています。
AWS のサービスの一部は、HITRUST CSF アシュアランスプログラムに従って認定 HITRUST CSF 評価機関による評価を受け、HITRUST CSF v9.3 認定基準への適合が認められています。
お客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS のサービスを使用できますが、HIPAA 適格サービスで保護対象保健情報 (PHI) のみを処理、保存、および送信する必要があります。
AWS、HIPAA、および HITECH のコンプライアンス
1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の労働者が転職または失業したときに健康保険に加入できるようにすることを目的とした法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。
HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。
カナダ
個人情報保護および電子文書法 (PIPEDA、Personal Information Protection and Electronic Documents Act)
個人情報保護および電子文書法 (PIPEDA、Personal Information Protection and Electronic Documents Act) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。
Health Information Act (HIA: 健康情報法) は、アルバータ州におけるプライバシー法であり、管理中または管理者が扱う医療情報の収集、使用、開示、保護に関する定めがあります。
現在、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) など、複数のサービスで AWS カナダ (中部) リージョンをご利用いただけます。
Personal Health Information Protection Act (オンタリオ州)
Personal Health Information Protection Act (PHIPA: 個人健康情報保護法) は、オンタリオ州のプライバシーに関する法律で、医療サービスを提供または促進する過程で行われる個人健康情報 (PHI) の収集、使用、開示に適用されます。
英国
医療および社会福祉のクラウドセキュリティ - グッドプラクティスガイド
医療および社会福祉のクラウドセキュリティ - グッドプラクティスガイドは、NHS Digital、NHS England、Department of Health and Social Care、NHS Improvement によって共同で作成されました。
このガイダンスは、医療機関および社会福祉機関が、患者の機密情報を含む医療データおよび社会福祉データを、データのオフショアリングを利用したソリューションを含むパブリッククラウドに安全に配置できるように、実施すべきセーフガードを説明しています。
AWS は、AWS にデプロイされているワークロードを分類することでコンプライアンスを実現し、クラスに応じた制御を実施することでサポートしています。ホワイトペーパー「NHS のクラウドセキュリティガイダンスに基づく AWS の使用」には、組織が実施すべき詳細なリスク管理活動が記載されており、必要なセキュリティレベルに適した技術的対策を中心に構成されています。
フランス
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS) - フランス政府の保健機関である「Agence du Numérique en Santé」(ANS) によって導入された HDS (Hébergeur de Données de Santé) 認証は、個人の健康データのセキュリティおよび保護を強化することを目的としています。
HDS 認証を取得するには、IT プロバイダーは ISO 27001 認証を取得している必要があります。これは、ISO 27001 認証の対象となるサービスが HDS の範囲に含まれることを意味します。ISO/IEC 27001:2013 認証範囲内にある AWS のサービスは、ISO 認証ウェブページでご確認いただけます。
ドイツ
DiGAV コンプライアンス
DiGAV は、ドイツの医療システムのデジタル化をサポートするため、2020 年 4 月に導入されました。DiGAV により、ドイツの法定健康保険制度の下で、特定の医療申請が還付対象として認められるようになりました。ただし、組織が DiGAV に準拠し、DiGAV を通じた払い戻しの資格を得るためには、申請書が DiGAV データ保護要件に適合していることを証明する必要があります。それには、個人データが欧州経済地域 (EEA) または EU 一般データ保護規則 (GDPR) 第 45 条に基づき欧州委員会が妥当性を決定した国においてのみ処理されることを含みます。
AWS は、お客様がヘルスケアのワークロードをクラウドに移行する際に、ドイツのデジタル供給法 (DVG) や関連するデジタルヘルスアプリケーション条例 (DiGAV) など、地域の規制や法的要件への対応をサポートする業界最先端のツールを多数提供しています。
日本
個人情報の保護に関する法律 (APPI)
個人情報の保護に関する法律 (APPI) は日本の個人データを扱う主要な法律です。
APPI は、個人情報を扱うすべての事業者 (個人および団体) に適用されます。APPI では、個人情報と個人データ (APPI が個人情報データベースの一部を構成する個人情報として定義する) も区別します。事業者に課される義務は、事業者が個人情報または個人データを取得、利用、または提供するかどうかによって異なります。
AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、2、および 3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
シンガポール
個人データ保護法 2012 (PDPA)
個人情報保護法 2012 (PDPA) は、シンガポールでの個人データの保護に適用される法律で、個人データが処理のために国外に転送される場合も対象になります。PDPA では、個人データの収集、使用、開示、保護を管理しています。
AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、2、および 3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
AWS は、影響力を持つために必要なスピードで動くためのテクノロジーを提供することで、世界中の多くの医療組織をサポートしています (医療データの共有による未知の病気の診断から、新たなパンデミックを防ぐための新型ウイルスの特定、その他多くの重要な機能まで)。同時に、お客様が最高のセキュリティとコンプライアンス要件を満たすことを可能にします。一例として、シンガポールの公共医療を支える実現技術を提供する機関である、シンガポールの Integrated Health Information Systems (IHiS) が挙げられます。IHiS は、ワクチン接種業務の IT システムを安全にスケールし、1 日 8,000 件の接種という初期負荷から 4 週間で 1 日 80,000 件の接種というピーク負荷まで、非常に短期間で大幅に高い負荷に耐えうるようにすべく、
AWS を採用しました。