この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、城内です。
この度、AuroraとRDSのPostgreSQLがHIPAAの対象サービスに拡張されました。 これにより、AWSと提携した事業提携契約(BAA)の下で保護された健康情報(PHI)を含め、HIPAA準拠のアプリケーションと店舗ヘルスケア関連の情報を構築するために、PostgreSQLをベースにしているAuroraやRDSを使用することができます。
HIPAAとは?
HIPAAといっても、あまり聞きなれないキーワードかもしれません。 AWSのサイトでは以下のように説明されています。
医療保険の相互運用性と説明責任に関する法令 (HIPAA) は 1996 年に制定されました。この法律は、労働者が転職や失業の際に医療保険の受給資格を簡単に維持できるようにするために作成されました。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。 電子医療記録の使用が増加したため、保護された医療情報 (PHI) のセキュリティとプライバシーを保護する条項が HIPAA に追加されました。PHI には、保険とその支払いに関する情報、診断データ、臨床診療データ、画像を含む医療検査結果といった、医療および医療に関連のある非常に広範な個人識別データが含まれます。この規則が適用される "対象となる事業体" には、患者と患者のデータを直接扱う病院、医療サービス提供者、事業者提供医療保険制度の関係者、研究施設、保険会社が含まれます。また、この法令では、PHI を保護する責任を "取引先" まで拡大しています。
引用元:HIPAA への準拠 – アマゾン ウェブ サービス (AWS)
事業提携契約 (BAA)
今回、すでにAWSとBAAを締結していれば、すぐに使用することができます。
医療保険の相互運用性と説明責任に関する法令 (HIPAA) では、"取引先" を、対象となる事業体により雇用されているわけではないものの、対象となる事業体のために職務や活動を実施する、または対象となる事業体に特定のサービスを提供する個人や事業体と説明しています。また、HIPAA 規制における "取引先" には、対象となる事業体の取引先のために保護された医療情報を作成、受信、保守、または転送する下請業者も含まれており、AWS のようなクラウドサービスプロバイダーは取引先と見なされます。HIPAA の規則では、取引先が保護された医療情報を適切に保護することを定めた契約を、対象となる事業体と取引先の間で締結するよう要求されています。また、事業提携契約は、対象となる事業体と取引先の関係および取引先が実施している活動やサービスに基づいて、取引先による保護された医療情報の使用や開示 (適切な場合) の許可範囲を明示および制限するのにも役立ちます。AWS では、このような契約を事業提携契約の補遺条項と呼んでいます。
引用元:HIPAA への準拠 – アマゾン ウェブ サービス (AWS)
さいごに
AWSも様々な法令に準拠するようになり、利用の幅がどんどん広がっていきますね。 今後の広がりにも期待です!
6
