医療保険の携行性と責任に関する法律

(HIPAA)

概要

ますます多くの医療提供者、保険会社、および IT プロフェッショナルが、AWS のユーティリティベースのクラウドサービスを使用して保護対象医療情報 (PHI) を処理、保存、転送しています。

AWS では、1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる事業体とその事業提携者が、安全な AWS 環境を活用して、保護された医療情報を処理、管理、および保存できるようにしています。

HIPAA 対応サービスの詳細については、「HIPAA 対応サービスのリファレンス」を参照してください。

HIPAA ロゴ

AWS のヘルスケア、ライフサイエンス顧客の皆様

Philips のロゴ Orion Health のロゴ
Bristol Myers Squibb のロゴ Siemens のロゴ

 

ページトピック

よくある質問
8

よくある質問

すべて開く

1996 年に制定された HIPAA (Health Insurance Portability and Accountability Act) は、米国の労働者が転職または失業したときに医療保険を保持しやすくすることを目的とする法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

電子医療記録の使用増加にあわせて、HIPAA には保護対象医療情報 (PHI) のセキュリティとプライバシーを保護する条項が包含されています。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。HIPAA が適用される対象となる事業体には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。PHI を保護するという HIPAA の要件は、事業提携者にも適用されます。

2009 年に制定された HITECH (Health Information Technology for Economic and Clinical Health Act) により、HIPAA の規則が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。

HIPAA および HITECH が医療情報を保護する方法の詳細については、米国保健社会福祉省の Health Information Privacy ウェブページを参照してください。

Health Information Trust Alliance (HITRUST) によると、HITRUST Common Security Framework (CSF) とは「規制コンプライアンスとリスク管理に対する包括的かつ効率的で柔軟なアプローチを組織に提案する認定フレームワークで、医療や情報セキュリティの専門家と共同開発し、医療関連の規制と標準を単一の包括的なセキュリティフレームワークにまとめて合理化したもの」です。

HITRUST CSF は、連邦法 (HIPAA や HITECH など)、州法 (米国マサチューセッツ州の Standards for the Protection of Personal Information of Residents of the Commonwealth など)、および民間フレームワーク (PCI Security Standards Council など) からのセキュリティコントロールを、ヘルスケアのニーズ合わせてカスタマイズされた単一のフレームワークに統一するために役立ちます。

AWS では、HIPAA、HITECH、および HITRUST CSF に即した方法でヘルスケア関係のお客様のアプリケーションをサポートできる、安価で信頼性と拡張性に優れたコンピューティングプラットフォームを提供しています。

HIPAA 規制では、AWS などのクラウドサービスプロバイダー (CSP) は事業提携者と見なされます。事業提携契約 (BAA) は、保護された医療情報 (PHI) を AWS が適切に保護することを保証するための AWS の契約で、HIPAA の規約で必須とされているものです。BAA はまた、必要に応じて、AWS とお客様との関係、および AWS が実行している活動またはサービスに基づいて、AWS による PHI の許容される使用および開示を適切に明確にし、制限します。

はい。AWS では、顧客と締結する標準の事業提携契約 (BAA) を用意しています。BAA は AWS が提供する特有のサービスを考慮に入れたもので、AWS 責任共有モデルに対応しています。

お客様のアカウントの BAA を確認、同意、管理するには、AWS マネジメントコンソールの AWS Artifact にサインインしてください。アカウントにアクセスができない場合は、管理者に無償の IAM アカウントをリクエストし、Artifact IAM ポリシーに対するアクセス権を請求してください。

Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org.(2:07)

AWS Artifact を利用してアカウントの契約に同意する方法をご覧ください。(1:39)

 

AWS などのクラウドサービスプロバイダー (CSP) に対する HIPAA 認定はありません。運用モデルに適用される HIPAA の要件を満たすために、AWS では、HIPAA セキュリティ規則に対応し、より高度なセキュリティ標準である FedRAMP と NIST 800-53 に合わせて、HIPAA リスク管理プログラムを調整しました。NIST はこの調整をサポートしており、「SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule」を発行しています。これは、NIST 800-53 が HIPAA セキュリティ規則にどのように適合するのかを文書化したものです。

お客様は、HIPAA アカウントとして指定されているアカウント内で任意の AWS サービスを使用できますが、保護対象医療情報 (PHI) の処理、保存、および転送は、事業提携契約 (BAA) で定義されている HIPAA 対応サービス内のみで行う必要があります。HIPAA 対応 AWS サービスの最新リストについては、HIPAA 対応サービスのリファレンスウェブページをご覧ください。

AWS では、HIPAA 対応サービスが特に HIPAA で義務付けられているセキュリティ、コントロール、および管理プロセスをサポートすることを確実にするための、標準ベースのリスク管理プログラムに従っています。PHI の保存や処理にこれらのサービスを使用していただくことにより、お客様のご要望に基づいて、ユーティリティベースの運用モデルに適用される HIPAA 要件についての対応を進めていくことが可能になります。AWS では、お客様の需要に基づいて、対応サービスの優先順位を決め、新しいサービスを追加しています。

AWS の事業提携プログラムに関する詳細情報を入手する、または新しい対応サービスをリクエストするには、AWS までお問い合わせください

いいえ。これはよく生じる状況で、多くの HIPAA ソリューションパートナーが AWS で Software as a Service (SaaS) を運用しています。AWS SaaS パートナーとして事業提携契約 (BAA) に署名している場合、それぞれの医療提供者や対象となる事業体は AWS SaaS パートナーであるお客様とのみ BAA を締結します。対象となる事業体がお客様の SaaS ソリューションを使用しており、HIPAA 関連のシステムにおける AWS の直接の顧客でもある場合、その対象となる事業体にはお客様および AWS の両方と BAA を締結する必要が生じる可能性があります。

AWS との事業提携契約 (BAA) を締結した AWS のお客様と Amazon パートナーネットワーク (APN) パートナーの場合、保護対象医療情報 (PHI) を処理するために Amazon Elastic Compute Cloud (EC2) ハードウェア専有インスタンスや専有ホストを使用する必要はありません。AWS HIPAA コンプライアンスプログラムでは、2017 年 5 月 14 日までは Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は専用インスタンスまたは専用ホストを使用する必要がありましたが、この要件は削除されました。

HIPAA

概要

AWS のユーティリティベースのクラウドサービスを使用して保護された医療情報 (PHI) を処理、保存、転送している医療提供者、保険者、および IT 専門家は多くおり、その数は増え続けています。

AWS では、1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる事業体とその取引先が、安全な AWS 環境を活用して、保護された医療情報を処理、管理、および保存できるようにしています。

HIPAA 対応サービスの詳細については、「HIPAA 対応サービスのリファレンス」を参照してください。

AWS のヘルスケアおよびライフサイエンス分野のお客様

よくある質問

  • 1996 年に制定された米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、米国の労働者が転職または失業したときに健康保険に加入できるようにすることを目的とした法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。

    電子医療記録の使用が増加したため、保護された医療情報 (PHI) のセキュリティとプライバシーを保護する条項が HIPAA に追加されました。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。HIPAA が適用される対象となる事業体には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。PHI を保護するという HIPAA の要件は、取引先にも適用されます。

    HIPAA は、2009 年に制定された経済的および臨床的健全性のための医療 IT に関する法律 (HITECH) により規定が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。

    HIPAA および HITECH がどのようにして医療情報を保護しているかについての詳細は、米国保健社会福祉省の Health Information Privacy を参照してください。

  • Health Information Trust Alliance (HITRUST) によると、HITRUST の Common Security Framework (CSF) は「規制コンプライアンスとリスク管理の包括的、柔軟かつ効率的なアプローチを組織に提案する認証フレームワークで、医療や情報セキュリティの専門家と共同開発し、医療関連の規制と標準を単一の包括的なセキュリティフレームワークにまとめて合理化したもの」です。

    HITRUST CSF は、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および非政府フレームワーク (PCI Security Standards Council など) からのセキュリティ管理を、医療関連のニーズ合わせて調整された単一のフレームワークに統一するのに役立ちます。

    AWS では、HIPAA、HITECH、および HITRUST CSF に合致した方法で医療関係のお客様のアプリケーションをサポートする、信頼性が高く、スケーラブルで低コストなコンピューティングプラットフォームを利用できます。

  • HIPAA の規制では、AWS などのクラウドサービスプロバイダー (CSP) は取引先として認識されます。事業提携契約 (BAA) は、保護された医療情報 (PHI) を AWS が適切に保護することを保証するための AWS の契約で、HIPAA の規約で必須とされているものです。BAA はまた、必要に応じて、AWS とお客様との関係、および AWS が実行している活動またはサービスに基づいて、AWS による PHI の許容される使用および開示を適切に明確にし、制限します。

  • はい。AWS では、顧客と締結する標準の事業提携契約 (BAA) を用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。

    お客様のアカウントの BAA を確認、承諾、管理するには、AWS マネジメントコンソールの AWS Artifact にサインインしてください。アカウントにアクセスができない場合、担当の管理者から無償の IAM アカウントをリクエストし、Artifact IAM ポリシーへのアクセスを求めてください。

    Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org(2:07)

    AWS Artifact を利用してアカウントへの同意を得る方法をご覧ください。( 1:39 )

  • AWS のようなクラウドサービスプロバイダー (CSP) に対する HIPAA 認証はありません。運用モデルに適用される HIPAA の要件を満たすために、AWS では、HIPAA セキュリティ規則に対応し、より高度なセキュリティ標準である FedRAMP と NIST 800-53 に合わせて、HIPAA リスク管理プログラムを調整しました。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に合わせる方法を文書化した、SP 800-66、An Introductory Resource Guide for Implementing the HIPAA Security Ruleを発行しています。

  • お客様は HIPAA アカウントとして指定されているアカウントで AWS のすべてのサービスをご使用いただけます。ただし、保護された医療情報 (PHI) を処理、保存、および転送できるのは、事業提携契約 (BAA) で HIPAA 対応として定義されたサービス内のみです。HIPAA 対応の AWS サービスの最新のリストは、HIPAA 対応サービスのリファレンスウェブページに掲載されています。

    AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 対応サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。PHI の保存や処理にこれらのサービスを使用していただくことにより、お客様のご要望に基づいて、ユーティリティベースの運用モデルに適用される HIPAA 要件についての対応を進めていくことが可能になります。AWS では、お客様の需要に基づいて、対応サービスの優先順位を決め、新しいサービスを追加しています。

    AWS の事業提携プログラムに関する詳細、または新しい対応サービスのリクエストについては、お問い合わせください

  • いいえ。これはよく生じる状況で、多くの HIPAA ソリューションパートナーが AWS で Software as a Service (SaaS) を運用しています。AWS SaaS パートナーとして事業提携契約 (BAA) に署名している場合、それぞれの医療提供者や対象となる事業体は AWS SaaS パートナーであるお客様とのみ BAA を締結します。対象となる事業体がお客様の SaaS ソリューションを使用しており、HIPAA 関連のシステムにおける AWS の直接の顧客でもある場合、その対象となる事業体にはお客様および AWS の両方と BAA を締結する必要が生じる可能性があります。

  • AWS で事業提携契約 (BAA) に署名した AWS のお客様と APN パートナーは、保護医療情報 (PHI) を処理する際に Amazon Elastic Compute Cloud (EC2) ハードウェア専有インスタンスまたは専用ホストを使用する必要はありません。AWS HIPAA コンプライアンスプログラムでは、2017 年 5 月 14 日までは Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は専用インスタンスまたは専用ホストを使用する必要がありましたが、この要件は削除されました。

HIPAA リソース

 HIPAA 対応サービス  クラウド内の医療提供者と保険会社  AWS セキュリティ保証サービス
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »