HIPAAを知る

AWS

はじめに

最近AWSの各種サービスが立て続けにHIPAA eligibleになったと発表されています。

この良く聞く単語であるHIPAA、いまいち理解出来てなかったので調べてみました。

HIPAAとは

HIPAAとは「Health Insurance Portability and Accountability Act」の略で、日本語では「医療保険の相互運用性と説明責任に関する法律」と呼ばれています。1996年に制定されましたが、その後社会情勢と共に継続的に改定されています。

この法律は大きく2つに分かれており、1つめ(Title I)が「Health Care Access, Portability, and Renewability」、つまり労働者やその家族が転職したり失職した場合にも、診療情報や保険利用に関するデータに継続的にアクセス可能なようにすること。2つめ(Title II)が「Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform」で、医療情報の電子化を推進し業務管理を簡略化するとともに、プライバシー保護やセキュリティ確保について定めています。プライバシー規則は2002年に、セキュリティ規則は2003年に追加されました。

また2009年には米国経済再生法の一部として、HITECH(Health Information Technology for Economic and Clinical Health Act、 「経済的及び臨床的健全性のための医療情報技術に関する法律」)が制定され、内容が拡大されました。HITECH法では更に、HIPAA違反に対する罰則が厳しく定められています。

HIPAAの対象となるようなシステムをAWS上で展開する場合は、AWSと事業提携契約(BAA)を締結する必要があります。

ちなみにIBMさんがすごく分かりやすい記事を書いてましたのでリンク置いておきます。

HIPPAに準拠していると認定されたサービス

AWSの公式Webサイトで一覧が提供されています。

2017年8月時点での認定サービスは以下の通りです。

  • Amazon API Gateway excluding the use of Amazon API Gateway caching
  • Amazon Aurora [MySQL-compatible edition only]
  • Amazon CloudFront [excluding Lambda@Edge]
  • Amazon Cognito
  • AWS Database Migration Service
  • AWS Direct Connect
  • AWS Directory Services excluding Simple AD and AD Connector
  • Amazon DynamoDB
  • Amazon EC2 Container Service (ECS)
  • Amazon EC2 Systems Manager
  • Amazon Elastic Block Store (Amazon EBS)
  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Elastic Load Balancing
  • Amazon Elastic MapReduce (Amazon EMR)
  • Amazon Glacier
  • Amazon Inspector
  • Amazon Redshift

日本の場合

厚生労働省が「医療情報システムの安全管理に関するガイドライン」という文章を発行しています。 これを読む限りISMSの審査を受けるのが一般的なようです。

さいごに

良く出てくるキーワードについて調べ、理解を深めることが出来ました。追加情報や補足などがあればぜひご教示ください。