소개

1996년 건강보험 이전 및 책임에 관한 법률 (HIPAA) 은 “피보험 대상 단체” 및 “비즈니스 관계자”에게 적용됩니다. HIPAA는 경제 및 임상 건강을 위한 건강 정보 기술 (HITECH) 법에 의해 2009년에 확대되었습니다.

HIPAA와 HITECH는 PHI의 보안 및 개인 정보를 보호하기 위한 일련의 연방 표준을 제정합니다. HIPAA와 HITECH는 보호 대상 건강 정보 (PHI) 의 사용 및 공개, PHI 보호를 위한 적절한 보호 조치, 개인의 권리 및 행정적 책임과 관련된 요구 사항을 부과합니다. HIPAA 및 HITECH에 대한 자세한 내용은 건강 정보 프라이버시 홈을 참조하십시오.

피보험 대상 단체 및 비즈니스 관련자는 Amazon Web Services (AWS) 에서 제공하는 안전하고 확장 가능하며 저렴한 IT 구성 요소를 사용하여 HIPAA 및 HITECH 규정 준수 요구 사항에 따라 애플리케이션을 설계할 수 있습니다. AWS는 ISO 27001, FedRAMP, 서비스 조직 제어 보고서 (SOC1, SOC2, SOC3) 등 업계에서 인정하는 인증 및 감사를 갖춘 commercial-off-the-shelf 인프라 플랫폼을 제공합니다. AWS 서비스와 데이터 센터는 고객 데이터의 무결성과 안전을 보장하는 데 도움이 되는 여러 계층의 운영 및 물리적 보안을 갖추고 있습니다. 최소 요금이 없고, 기간 기반 계약이 필요하지 않으며, pay-as-you-use 요금이 부과되는 AWS는 성장하는 의료 산업 애플리케이션을 위한 안정적이고 효과적인 솔루션입니다.

AWS는 HIPAA의 적용을 받는 피보험 대상 단체 및 비즈니스 제휴사가 PHI를 안전하게 처리, 저장 및 전송할 수 있도록 지원합니다. 또한 2013년 7월부터 AWS는 이러한 고객을 위해 표준화된 비즈니스 제휴 부록 (BAA) 을 제공합니다. AWS BAA를 실행하는 고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있지만, AWS BAA에 정의된 HIPAA 적격 서비스를 사용해서만 PHI를 처리, 저장 및 전송할 수 있습니다. 이러한 서비스의 전체 목록은 HIPAA 적격 서비스 참조 페이지를 참조하십시오.

AWS는 표준 기반 위험 관리 프로그램을 유지하여 HIPAA 적격 서비스가 HIPAA 행정적, 기술적, 물리적 보호 조치를 구체적으로 지원하도록 합니다. 이러한 서비스를 사용하여 PHI를 저장, 처리 및 전송하면 고객과 AWS가 AWS 유틸리티 기반 운영 모델에 적용되는 HIPAA 요구 사항을 충족하는 데 도움이 됩니다.

AWS의 BAA에서는 고객이 HIPAA 적격 서비스에 저장되거나 전송되는 PHI를 암호화하도록 요구합니다: 보안되지 않은 보호 대상 건강 정보를 권한이 없는 개인은 사용할 수 없거나 읽을 수 없게 하거나 해독할 수 없게 만들기 위한 지침 (“지침”). 이 사이트는 업데이트될 수 있으며 HHS에서 지정한 후속 (또는 관련) 사이트에서 제공될 수 있으므로 이 사이트를 참조하십시오.

AWS는 PHI의 키 관리 및 암호화를 쉽게 관리하고 감사를 단순화할 수 있는 포괄적인 기능 및 서비스 세트를 제공합니다 AWS Key Management Service (AWS KMS). HIPAA 규정 준수 요구 사항이 있는 고객은 PHI에 대한 암호화 요구 사항을 매우 유연하게 충족할 수 있습니다.

암호화 구현 방법을 결정할 때 고객은 HIPAA 적격 서비스에 기본으로 제공되는 암호화 기능을 평가하고 활용할 수 있습니다. 또는 고객은 HHS의 지침에 따라 다른 방법을 통해 암호화 요구 사항을 충족할 수 있습니다.