クラウドのコンプライアンス
HIPAA、HITRUST、GxP などの厳しいコンプライアンス基準を満たすように設計された AWS で運用を強化してください。
安全で規制に準拠したクラウドサービスによるイノベーションの促進
HIPAA コンプライアンス
- 該当するサービス全体で AWS によって維持されている HIPAA 適格性
- 事業提携契約 (BAA) の合理化された履行プロセス
- 保護対象健康情報 (PHI) を保護するための組み込みの技術的保護対策
- 強化された監視のための包括的な監査証跡ときめ細かなアクセス制御
GxP コンプライアンス
- GxP コンプライアンス準拠インフラストラクチャのプロビジョニング、構成、テストにかかる時間の短縮
- グローバルなセキュリティとコンプライアンス制御のシームレスな継承
- 継続的な監視と警告
包括的なセキュリティ管理
- 転送中および保管中のデータのエンドツーエンドの暗号化
- きめ細かな Identity and Access Management (IAM)
- ネットワークの分離とセグメンテーション
- 24 時間 365 日のインフラ監視と脅威検知
グローバルコンプライアンスフレームワーク
- HITRUST CSF 認定
- SOC 1、2、および 3 のレポート
- ISO 27001、27017、27018
- GDPR とリージョンのデータ保護基準
安全なソリューションを一緒に構築
コンプライアンスは責任共有です。私たちは透明なセキュリティパートナーシップを信じています。クラウドのセキュリティは AWS が管理しますが、クラウド内のセキュリティに対する完全な制御はお客様が維持します。
AWS が提供するもの
AWS は、ホストオペレーティングシステムや仮想化レイヤーから、サービスが実行される施設の物理的なセキュリティに至るまで、コンポーネントを運用、管理、制御します。これには、166 以上の HIPAA 対象サービスに裏打ちされた堅牢なインフラストラクチャ、HITRUST、GDPR、ENS High、HDS、C5 などのグローバルコンプライアンス認証、および他のどのプロバイダーよりも多くのアベイラビリティーゾーンが含まれます。
責任共有モデル
お客様は、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、関連付けられたアプリケーションソフトウェア、および AWS が提供するセキュリティグループファイアウォールの設定を管理する責任があります。お客様には、完全なデータ所有権とアクセス管理、データストレージの地理的場所を選択する権利、アプリケーションレベルのセキュリティ制御の実装、およびデータ暗号化の管理があります。
お客様のデータ、お客様の制御
- ISO 9001
- ISO 27001、27017、27018
- SOC 1、2、3
- PCI DSS レベル 1
- FedRAMP
- Cyber Essentials Plus
- DoD SRG
当社の独立した第三者認証は、「クラウドのセキュリティ」に対する当社の取り組みを実証しています。 お客様はこれらのコンプライアンス認証を継承し、監査人や規制当局に対してコンプライアンスの一部を証明するために使用することができます。当社のコンプライアンス認証および証明は、サードパーティである独立監査人によって評価され、その結果としてコンプライアンスの認証、監査報告、または証明が発行されます。主要な認証と証明には以下が含まれます:
- GDPR
- HIPAA
- HITECH
- PDPA-2012 (シンガポール)
- PIPEDA (カナダ)
- プライバシー法 (オーストラリア)
- PDPA-2010 (マレーシア)
HIPAA、HITECH、GxP、GDPRなどの業界規制について、当社は強固なセキュリティ機能と、事業提携契約 (BAA) やデータ処理契約 (DPA) などの法的契約を提供しています。医療法には以下が含まれます:
- クラウドセキュリティアライアンス (CSA)
- EU-US Privacy Shield
- NIST
- BioPhorum IT コントロール
業界フレームワークとの連携は、お客様のコンプライアンスニーズをさらにサポートします。主要なアラインメントおよびフレームワークには以下が含まれます:
AWS での GxP コンプライアンス
AWS では、目的に特化したソリューション、技術リソース、および GxP 専門家チームへのアクセスがあるため、ライフサイエンス組織はコスト削減、セキュリティの向上、俊敏性の強化を実現する GxP 調整環境を簡単に確立できます。
グローバルヘルスケアコンプライアンスとフレームワークの調整
米国
すべて開くFederal Risk and Authorization Management Program (FedRAMP: 米国連邦政府によるリスクおよび認証管理プログラム) は、クラウド製品およびサービスに対するセキュリティ評価、承認、および継続的なモニタリングのための標準アプローチを提供する米国政府全体のプログラムです。FedRAMP は、米国保健福祉省 (HHS) を含めたすべての米国連邦政府機関、およびすべてのクラウドサービスに義務付けられています。
2 つの個別の FedRAMP Agency Authorization (AWS GovCloud (米国) リージョンを包含するものと、AWS 米国東部/西部リージョンを包含するもの) が発行されています。
詳細 »HITRUST CSF (Cloud Security Framework) では、連邦法 (HIPAA や HITECH など)、州法 (マサチューセッツ州のコモンウェルスの居住者の個人情報保護基準など)、および広く認められた非政府コンプライアンス標準 (PCI DSS など) の各方面のセキュリティ管理が、医療関連のニーズに合った単一のフレームワークにまとめられています。
AWS のサービスの一部は、HITRUST CSF アシュアランスプログラムに従って認定 HITRUST CSF 評価機関による評価を受け、HITRUST CSF v9.3 認定基準への適合が認められています。
お客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS のサービスを使用できますが、HIPAA 適格サービスで保護対象保健情報 (PHI) のみを処理、保存、および送信する必要があります。
1996 年に制定された HIPAA (Health Insurance Portability and Accountability Act) は、米国の労働者が転職または失業したときに医療保険を保持しやすくすることを目的とする法律です。また、電子医療記録の導入を促進し、情報共有の向上によって米国の医療システムの効率と質を向上させることも目的としていました。
2009 年に制定された HITECH (Health Information Technology for Economic and Clinical Health Act) により、HIPAA の規則が拡大されました。HIPAA と HITECH により、PHI のセキュリティとプライバシーを保護することを意図した一連の連邦標準が確立されました。これらの条項には、「管理の簡素化」として知られる規則が含まれます。HIPAA と HITECH では、PHI の使用と開示、PHI の適切な保護手段、個人の権利、および管理責任に関連する義務を課しています。
詳細 »米国食品医薬品局 (FDA) は、電子記録と電子署名に関する規制である 21CFRPart 11 を制定しました。21CFRPart11 は、連邦食品医薬品化粧品法、公衆衛生法、または Part 11 以外の FDA 規制に服するライフサイエンス業界に適用されます。これらを総称して「従前規則」と呼びます。要するに、Part 11 が適用されるのは、問題のレコードが前提となる場合です。
続きを読む:
世界中の規制当局は、ライフサイエンス業界におけるデータの完全性の問題/懸念に注目し続けています。FDA は、データの完全性に関するガイダンスを発行して、ライフサイエンス組織に明確な情報を提供し、問題や懸念に積極的に対処できるようにしました。
カナダ
すべて開く個人情報保護および電子文書法 (PIPEDA、Personal Information Protection and Electronic Documents Act) はカナダの連邦法であり、カナダのすべての州での商業活動における個人情報の収集、使用、開示に適用されます。
Health Information Act (HIA: 健康情報法) は、アルバータ州におけるプライバシー法であり、管理中または管理者が扱う医療情報の収集、使用、開示、保護に関する定めがあります。
現在、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS) など、複数のサービスで AWS カナダ (中部) リージョンをご利用いただけます。
詳細 »Personal Health Information Protection Act (PHIPA: 個人健康情報保護法) は、オンタリオ州のプライバシーに関する法律で、医療サービスを提供または促進する過程で行われる個人健康情報 (PHI) の収集、使用、開示に適用されます。
英国
すべて開く医療および社会福祉のクラウドセキュリティ - グッドプラクティスガイドは、NHS Digital、NHS England、Department of Health and Social Care、NHS Improvement によって共同で作成されました。
このガイダンスは、医療機関および社会福祉機関が、患者の機密情報を含む医療データおよび社会福祉データを、データのオフショアリングを利用したソリューションを含むパブリッククラウドに安全に配置できるように、実施すべきセーフガードを説明しています。
AWS は、AWS にデプロイされているワークロードを分類することでコンプライアンスを実現し、クラスに応じた制御を実施することでサポートしています。ホワイトペーパー「NHS のクラウドセキュリティガイダンスに基づく AWS の使用」には、組織が実施すべき詳細なリスク管理活動が記載されており、必要なセキュリティレベルに適した技術的対策を中心に構成されています。
MHRA は引き続き、データ整合性を重視しています。電子データキャプチャ、システムのオートメーション、およびリモートテクノロジの使用の増加により、サプライチェーンと作業方法がより複雑になってきています。これには、サードパーティーサプライヤーをどう利用するかも含まれます。MHRA はデータの完全性に関するガイダンスを発行しました。これは特に、明確性を高め、ライフサイエンス業界の期待値を設定することで、データ整合性のコンプライアンスを確保することに狙いがあります。
フランス
すべて開くHébergeur de Données de Santé (HDS) - フランス政府の保健機関である「Agence du Numérique en Santé」(ANS) によって導入された HDS (Hébergeur de Données de Santé) 認証は、個人の健康データのセキュリティおよび保護を強化することを目的としています。
HDS 認証を取得するには、IT プロバイダーは ISO 27001 認証を取得している必要があります。これは、ISO 27001 認証の対象となるサービスが HDS の範囲に含まれることを意味します。ISO/IEC 27001:2013 認証範囲内にある AWS のサービスは、ISO 認証ウェブページでご確認いただけます。
データ整合性は、引き続き世界中で重要なトピックです。欧州医薬品庁 (EMA) は新しい製造ガイダンス (GMP) を発行しました。これは、医薬品の試験、製造、包装、流通、およびモニタリングのプロセスで生成されるデータに対してデータ整合性を確保するためです。
続きを読む:
ドイツ
すべて開くDiGAV は、ドイツの医療システムのデジタル化をサポートするため、2020 年 4 月に導入されました。DiGAV により、ドイツの法定健康保険制度の下で、特定の医療申請が還付対象として認められるようになりました。ただし、組織が DiGAV に準拠し、DiGAV を通じた払い戻しの資格を得るためには、申請書が DiGAV データ保護要件に適合していることを証明する必要があります。それには、個人データが欧州経済地域 (EEA) または EU 一般データ保護規則 (GDPR) 第 45 条に基づき欧州委員会が妥当性を決定した国においてのみ処理されることを含みます。
AWS は、お客様がヘルスケアのワークロードをクラウドに移行する際に、ドイツのデジタル供給法 (DVG) や関連するデジタルヘルスアプリケーション条例 (DiGAV) など、地域の規制や法的要件への対応をサポートする業界最先端のツールを多数提供しています。
データ整合性は、引き続き世界中で重要なトピックです。欧州医薬品庁 (EMA) は新しい製造ガイダンス (GMP) を発行しました。これは、医薬品の試験、製造、包装、流通、およびモニタリングのプロセスで生成されるデータに対してデータ整合性を確保するためです。
続きを読む:
日本
すべて開く個人情報の保護に関する法律 (APPI) は日本の個人データを扱う主要な法律です。
APPI は、個人情報を扱うすべての事業者 (個人および団体) に適用されます。APPI では、個人情報と個人データ (APPI が個人情報データベースの一部を構成する個人情報として定義する) も区別します。事業者に課される義務は、事業者が個人情報または個人データを取得、利用、または提供するかどうかによって異なります。
AWS は、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて、AWS クラウドインフラストラクチャサービスに適切な、技術的かつ組織的なセキュリティ対策を実装および維持しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
シンガポール
すべて開く個人情報保護法 2012 (PDPA) は、シンガポールでの個人データの保護に適用される法律で、個人データが処理のために国外に転送される場合も対象になります。PDPA では、個人データの収集、使用、開示、保護を管理しています。
AWS は、ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて、AWS クラウドインフラストラクチャサービスに適切な、技術的かつ組織的なセキュリティ対策を実装および維持しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
AWS は、影響力を持つために必要なスピードで動くためのテクノロジーを提供することで、世界中の多くの医療組織をサポートしています (医療データの共有による未知の病気の診断から、新たなパンデミックを防ぐための新型ウイルスの特定、その他多くの重要な機能まで)。同時に、お客様が最高のセキュリティとコンプライアンス要件を満たすことを可能にします。一例として、シンガポールの公共医療を支える実現技術を提供する機関である、シンガポールの Integrated Health Information Systems (IHiS) が挙げられます。IHiS は、ワクチン接種業務の IT システムを安全にスケールし、1 日 8,000 件の接種という初期負荷から 4 週間で 1 日 80,000 件の接種というピーク負荷まで、非常に短期間で大幅に高い負荷に耐えうるようにすべく、
AWS を採用しました。