免責事項:私は弁護士ではありません。
まず、いくつかの必要な読書:
Microsoft Azureトラストセンター
HIPAAビジネスアソシエイト契約(BAA)
HIPAAおよびHITECH法は、患者情報(Protected Health Information、またはPHIと呼ばれる)にアクセスできる医療機関に適用される米国の法律です。多くの場合、対象となるヘルスケア企業がAzureなどのクラウドサービスを使用するには、サービスプロバイダーが書面での合意に同意して、HIPAAおよびHITECH法に定められた特定のセキュリティおよびプライバシーの規定を遵守する必要があります。顧客がHIPAAおよびHITECH法に準拠するのを支援するために、マイクロソフトは契約補遺として顧客にBAAを提供しています。
マイクロソフトは現在、ボリュームライセンス/エンタープライズ契約(EA)をお持ちのお客様、またはスコープ内サービスのためにマイクロソフトとのAzure専用EA登録をお持ちのお客様にBAAを提供しています。AzureのみのEAはシートサイズに依存せず、Azureへの年間の金銭的コミットメントに依存します。
BAAに署名する前に、お客様はAzure HIPAA実装ガイダンスをお読みください。このドキュメントは、HIPAAおよびHITECH Actに関心のあるお客様がAzureの関連機能を理解できるように作成されました。対象となる対象者には、プライバシー担当者、セキュリティ担当者、コンプライアンス担当者、およびHIPAAおよびHITECH法の実装とコンプライアンスを担当する顧客組織のその他の人々が含まれます。このドキュメントでは、HIPAA準拠のアプリケーションを構築するためのいくつかのベストプラクティスを取り上げ、セキュリティ違反を処理するためのAzureのプロビジョニングについて詳しく説明しています。Azureには、お客様のプライバシーとセキュリティのコンプライアンスを実現する機能が含まれていますが、お客様は、Azureの特定の使用がHIPAA、HITECH法、およびその他の適用法および規制に準拠していることを確認する責任があります。
お客様は、Microsoftアカウント担当者に連絡して契約に署名する必要があります。
クラウドプロバイダー(BAS)でBAAに署名する必要がある場合があります。コンプライアンス担当者に問い合わせてください。
Azure HIPAA実装ガイダンスは次のとおりです。
HIPAAおよびHITECH Actの要件に準拠する方法でAzureを使用することができます。
Azure VM、Azure SQL、およびAzure VM内で実行されるSQL Serverインスタンスはすべてスコープ内にあり、ここでサポートされています。
保管中のデータを暗号化するには、Bitlockerで十分です。保管データの暗号化のために、HIPAA要件(および他の同様の組織の要件)を満たす方法でAES暗号化を使用します。
さらに、SQL Serverは、SQL を設定しない限り、OSドライブに暗号化されていない機密データを保存しません。たとえば、TempDBをOSドライブなどに保存するように設定します。
個々のデータベース内の細胞/フィールド/列の暗号化は必須ではありませんと仮定しますが、すでに他の方法、例えばTDEやBitLockerの中で安静時のデータの暗号化のための要件を満たしています。
Bitlocker暗号化キーの管理方法は、物理マシンにアクセスできないため、TPMチップ内またはリムーバブルUSBドライブ上に存在しないため、どのように管理するかが考えられます。(システム管理者が手動でパスワードを入力して、サーバーを再起動するたびにデータドライブのロックを解除することを検討してください。)これは、CloudLinkなどのサービスの主な魅力です。