目次

非準拠のHipaa Awsリソースの確認

このページのトピック
HIPAA
修復/解決
参照

AWSクラウドで HIPAA規制のワークロードを実行できるようにするには、AWSアカウント内に作成されたすべてのリソースが HIPAA に準拠している( HIPAA BAAに記載されている)ことを確認してください。健康保険の相互運用性と説明責任に関する法律(HIPAA)は、患者の機密データを保護するための基準を定めています。HIPAA の法律には、Protected 健康 Information(PHI)のセキュリティとプライバシーを保護するための手順が含まれています。PHIには、診断データ、診療データ、画像や検査結果などの検査結果、保険、請求情報など、個人を特定できるさまざまな健康および健康関連データが含まれています。 HIPAA セキュリティルールは、対象データに適用されます。対象となるのは、病院、医療サービスプロバイダ、雇用主の支援による健康保険、研究施設、および患者データを管理する保険会社です。AWSアカウント内でプロビジョニングされ、HIPAAアカウントは使用できますが、保護された健康情報(PHI)を処理、保存、送信できるのは、AWS Business Associate Addendum(BAA)の対象となる、HIPAAの対象サービスとリソースのみです。

HIPAA 準拠のリソースとして認められるには、Amazon Web Servicesリソースが監査、バックアップ、およびディザスタリカバリに関する HIPAA の要件を満たし、転送中および保存時のPHIの保護と暗号化に関する実装仕様を含んでいる必要があります。たとえば、Amazon EC2リソースは HIPAA の対象となります。EC2インスタンスを使用して、Protected 健康 Information(PHI)を保存および分析し、 HIPAA 準拠のアプリケーションを構築できます。研究者、医療提供者、病院管理者、およびその他のユーザは、Amazon EC2インスタンスを使用して、 HIPAA 標準に準拠したPHIデータを分析、視覚化、または処理できます。AWS Conformityで定義されているとおり、HIPAAの対象となるサービスとリソースのみを使用して保護対象の健康情報を処理、保存、および送信することを強くお勧めします。

HIPAA

  • AWS Amplifyコンソール
  • Amazon API Gateway
  • AWS AppSync
  • Amazon Athena
  • Amazon Aurora (MySQL、PostgreSQL)
  • Amazon Auto Scaling
  • AWS Batch
  • AWS Certificate Manager
  • AWS CloudFormation
  • Amazon CloudFront ( Lambda@Edgeを含む)
  • AWS CloudHSM
  • AWS CloudTrail
  • Amazon CloudWatch
  • Amazon CloudWatch Events
  • Amazon CloudWatch Logs
  • AWS CodeBuild
  • AWS CodeCommit
  • AWS CodeDeploy
  • Amazon Cognito
  • Amazon Comprehend
  • AWS設定
  • Amazon Connect
  • AWS Database Migration Service
  • AWS DataSync
  • AWS Direct Connect
  • AWS Directory Services(Simple ADおよびAD Connectorを除く)
  • Amazon DynamoDB
  • Amazon ElastiCache (Redis)
  • Amazon Elasticsearch Service
  • AWS Elastic Beanstalk
  • Amazon EBS
  • Amazon EC2
  • Amazon Elastic Container Registry (ECR)
  • Amazon Elastic Container Service (ECS)
  • Kubernetes用Amazon Elastic Container Service
  • Amazon Elastic File System (EFS)
  • Elastic Load Balancing
  • Amazon Elastic MapReduce (EMR)
  • AWS Elemental MediaConnect
  • AWS Elemental MediaConvert
  • AWS Elemental MediaLive
  • AWS Firewall Manager
  • Amazon FreeRTOS
  • Amazon FSx
  • Amazon Glacier
  • AWS Global Accelerator
  • AWS GreenGrass
  • Amazon GuardDuty
  • Amazon Inspector
  • AWS IoT(コアおよびデバイス管理)
  • AWS Key Management Service
  • Amazon Kinesis Analytics
  • Amazon Kinesis Data Streams
  • Amazon Kinesis Firehose
  • Amazon Kinesis Video Streams
  • AWS Lambda
  • Amazon Macie
  • AWS Managed Services
  • Amazon MQ
  • AWS OpsWorks
  • Amazon Polly
  • Amazon QuickSight
  • Amazon Rekognition
  • Amazon Redshift
  • Amazon RDS (SQL Server、MySQL、Oracle、PostgreSQL、およびMariaDBデータベースエンジン)
  • AWS RoboMaker
  • Amazon Route 53
  • Amazon SageMaker (公務員およびベンダー要員を除く)
  • AWS Secrets Manager
  • AWS Security Hub
  • AWS Service Catalog
  • AWS Serverless Application Repository
  • AWS Server Migration Service
  • AWS Shield
  • Amazon Simple Notification Service (SNS)
  • Amazon Simple Queue Service (SQS)
  • Amazon S3(S3 Transfer Accelerationを含む)
  • Amazon Simple Workflow
  • AWS Snowball
  • AWS Snowball Edge
  • AWS Snowmobile
  • AWS Step Functions
  • AWS Storage Gateway
  • AWS Systems Manager
  • Amazon Transcribe
  • SFTP用のAWS Transfer
  • Amazon Translate
  • Amazon Virtual Private Cloud (VPC)
  • AWS VM Import/Export
  • AWS Web Application Firewall (WAF)
  • Amazon WorkDocs
  • Amazon WorkSpaces
  • AWS X-Ray

HIPAA対応のサービスおよびリソースの最新リストについては、この URLを参照してください。 HIPAA 準拠の環境を設計、作成、またはアップグレードする前に、このリストを参照してください。 Amazon Neptune サービスとそのリソースは現時点では HIPAA の対象外であるため、非準拠の HIPAA リソースの例として、Neptuneデータベースインスタンスがあります。これらの種類のリソースはまだ準拠していないため(つまり、 HIPAA の対象外)、がAWS Neptuneデータベースインスタンスを使用して患者ID番号や出生などの人口統計情報などのPHIデータを処理、保存、または送信する場合、組織に罰金が科される可能性があります。日付、性別、人種、連絡先、緊急連絡先情報、および患者の診断情報、治療情報、医療検査結果、および HIPAAで保護対象の健康情報とみなされる処方箋情報そうは言っても、Cloud Conformity は、 HIPAA セキュリティルールに準拠しなかった場合に適用されるペナルティと罰金を回避するために、非準拠の HIPAA リソース(AWS Neptuneデータベースインスタンスなど)を終了することを強くお勧めします。 HIPAA コンプライアンスの維持を支援するため、Cloud Conformity はAmazon Web Servicesアカウントをリアルタイムで監視し、 HIPAA 規格外でAWSリソースが作成されるとすぐに通知アラートを送信します。

修復/解決

Amazon Web Servicesは、 HIPAA のセキュリティ要件を満たすために必要なすべての保護を提供します。そのため、AWSのクラウドサービスとリソースを使用して、組織のプライバシーおよびセキュリティ義務に準拠した、健康に関する機密情報を保存、処理、および送信するアプリケーションを構築できます。また、AWSは、健康機関との間でビジネスアソシエイト契約(BAA)を締結します。 HIPAA 標準に関する義務に関する非常に具体的なルール。すべてのAWSコンポーネントは医療アプリケーションで使用できますが、 HIPAAで保護された健康情報の保存、処理、および送信に使用できるのはAWS BAAでカバーされるサービスとリソースのみです。そうは言っても、AWS BAAに含まれていないサービスやリソースを使用すると、 HIPAA 規制に準拠できず、顧客の信頼が失われ、医療組織が法的措置にさらされたり、違反に対して罰金を科せられたりする可能性があります。 HIPAA セキュリティルール。

参照