序章

1996 年の医療保険の相互運用性と説明責任に関する法律 (HIPAA) は、「対象エンティティ」と「事業提携」に適用されます。HIPAA は 2009 年に Health Information Technology for Medical and Medical Health (HITAK) Act によって拡張されました。

HIPAA と HITAK は、PHI のセキュリティとプライバシーを保護することを目的とした一連の連邦基準を確立します。HIPAA と HITAK は、保護対象の医療情報 (PHI) の使用と開示、PHI、個人権利、管理上の責任を保護するための適切な保護に関する要件を課します。HIPAA と HITAK の詳細については、「Health Information Privacy Home」を参照してください。

対象エンティティとそのビジネスアソシエイトは、Amazon Web Services (AWS) が提供する安全でスケーラブルな低コストの IT コンポーネントを使用して、HIPAA および HITAK コンプライアンス要件に従ってアプリケーションを設計できます。AWS は、 commercial-off-the-shelfISO 27001、FedRAMP、Service Organization Control Report (SOC1, SOC2、SOC3) など、業界で認められている認定と監査を備えたインフラストラクチャプラットフォームを提供します。AWS のサービスとデータセンターには、顧客データの整合性と安全性を確保するために役立つ運用上および物理的なセキュリティが複数レイヤーあります。最低料金なしで、用語ベースの契約や pay-as-you-use 料金も必要ない AWS は、医療業界のアプリケーションの増加に対する信頼性が高く効果的なソリューションです。

AWS は、HIPAA の対象となるエンティティとそのビジネスアソシエイトが PHI を安全に処理、保存、および送信できるようにします。さらに、2013 年 7 月現在、AWS はそのようなお客様向けに標準化された事業提携契約 (BAA) を提供しています。AWS BAA を実行するお客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS サービスを使用できますが、AWS BAA で定義されている HIPAA 対象サービスを使用してのみ PHI を処理、保存、および送信できます。これらのサービスの完全なリストについては、「HIPAA 対応サービスリファレンス」ページを参照してください。

AWS は、HIPAA 対象サービスが HIPAA の管理、技術、および物理的な保護を特にサポートするように、標準ベースのリスク管理プログラムを維持しています。これらのサービスを使用して PHI を保存、処理、送信することで、AWS のお客様と AWS は AWS ユーティリティベースの運用モデルに適用される HIPAA 要件に対応することができます。

AWS の BAA では、「Secretary of Health and Human Services (HHS): Guidance to Render Unsecured Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals (「Guidance」）」のガイダンスに従って、HIPAA 対象サービスに保存または送信されている PHI を暗号化することをお客様に要求しています。更新される可能性があり、HHS によって指定された後継サイト (または関連サイト) で利用可能になる可能性があるため、このサイトを参照してください。

AWS は、 AWS Key Management Service () など、PHI のキー管理と暗号化を容易にし、監査を簡素化するための包括的な機能とサービスを提供しますAWS KMS。HIPAA コンプライアンス要件を持つお客様は、PHI の暗号化要件を満たす方法に多くの柔軟性があります。

暗号化の実装方法を決定する際、お客様は HIPAA 対応サービスにネイティブな暗号化機能を評価して活用できます。または、お客様は HHS からのガイダンスに従って、他の方法で暗号化要件を満たすことができます。