HIPAA準拠ホスティング & BAA インフラストラクチャ

いいえ。AWSはHIPAA適格サービスを提供し、BAA署名に応じますが、コンプライアンスは共有責任モデルです。暗号化、アクセス制御、監査ログ、ネットワーク分離を適切に設定する責任はあなた次第です。AWSで実行すればアプリケーションが HIPAA準拠になるわけではなく、設定と運用手順が実際に重要です。

BAA は対象事業者とその代わりに PHI を処理するベンダー間で法的に必要な契約です。AWS、Azure、Google Cloud はすべて BAA を提供していますが、各プラットフォーム内の特定のサービスのみをカバーしています。BAA でカバーされていないサービスを使用して PHI を処理することは、他に何を実装していても、コンプライアンス違反です。

Vercel と Netlify は現在 BAA に署名していないため、PHI を処理または保存するアプリケーションをホストすることはできません。ただし、PHI を含まない静的フロントエンドアセットに使用し、バックエンドとデータベースを BAA対応の AWS、Azure、または Google Cloud サービスで実行することはできます。境界が明確であれば、これは実行可能な分割です。

月次インフラストラクチャコストは、コンピュート、ストレージ、データ転送に応じて、通常 $500～$5,000 の間です。より大きな数字は通常、アーキテクチャと設定の初期費用です。月額費用を削減するために設定の隅を切り詰めることは、ちょうど侵害が発生する方法です。当社の定額設定により、ライブになる前にファウンデーションが監査対応であることが保証されます。

データが 45 CFR 164.514 のセーフハーバー識別解除基準すべて 18 項目を満たしている場合、それはもはや PHI ではなく、HIPAA の技術的保護措置は適用されません。部分的な識別解除では不十分です。1 つの識別子が残ると、完全な PHI 処理に戻ります。識別解除方法論を確認する前に、その仮定を検証するのをお手伝いします。

市民権局は、リスク評価、技術的保護措置ドキュメント、BAA、アクセスログ、侵害対応手順、および 6 年遡るまでの従業員トレーニング記録を求めています。当社のコンプライアンスドキュメントパッケージは、最後の駆け込み対応なしでそれらのリクエストに答えるよう構成されています。すべてが Infrastructure-as-Code であるため、すべての設定決定は追跡可能で防御可能です。