HIPAAを知る

#AWS

佐々木大輔

2017.08.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

最近AWSの各種サービスが立て続けにHIPAA eligibleになったと発表されています。

Amazon CloudFront, Amazon S3 Transfer Acceleration, AWS WAF, and AWS Shield are now HIPAA eligible
Amazon Simple Notification Service (SNS) is Now a HIPAA Eligible Service
Amazon Cognito Achieves HIPAA Eligibility and PCI Compliance, Adds a Simple Way to Sign in Users by Email Address or Phone Number, and Localizes the Management Console
Now You Can Use AWS Directory Service for Microsoft Active Directory to Help Maintain HIPAA and PCI Compliance in the AWS Cloud
Amazon WorkSpaces Achieves HIPAA Eligibility and PCI Compliance
Amazon WorkDocs Achieves HIPAA Eligibility and PCI DSS Compliance
Amazon Inspector and Amazon EC2 Systems Manager are now HIPAA eligible

この良く聞く単語であるHIPAA、いまいち理解出来てなかったので調べてみました。

HIPAAとは

HIPAAとは「Health Insurance Portability and Accountability Act」の略で、日本語では「医療保険の相互運用性と説明責任に関する法律」と呼ばれています。1996年に制定されましたが、その後社会情勢と共に継続的に改定されています。

この法律は大きく2つに分かれており、1つめ(Title I)が「Health Care Access, Portability, and Renewability」、つまり労働者やその家族が転職したり失職した場合にも、診療情報や保険利用に関するデータに継続的にアクセス可能なようにすること。2つめ(Title II)が「Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform」で、医療情報の電子化を推進し業務管理を簡略化するとともに、プライバシー保護やセキュリティ確保について定めています。プライバシー規則は2002年に、セキュリティ規則は2003年に追加されました。

また2009年には米国経済再生法の一部として、HITECH(Health Information Technology for Economic and Clinical Health Act、「経済的及び臨床的健全性のための医療情報技術に関する法律」)が制定され、内容が拡大されました。HITECH法では更に、HIPAA違反に対する罰則が厳しく定められています。

HIPAAの対象となるようなシステムをAWS上で展開する場合は、AWSと事業提携契約(BAA)を締結する必要があります。

ちなみにIBMさんがすごく分かりやすい記事を書いてましたのでリンク置いておきます。