米国の患者データを保存するアプリケーションの場合、HIPAAでは米国のデータを米国のサーバーに残す必要がありますか?
データを海外に保存できるように見えますが、サービスの場所やその他のリスクを考慮する必要があります。
9. HIPAAルールでは、対象となるエンティティまたはビジネスアソシエイトが、ePHIを米国外のサーバーに格納するCSPを使用することを許可していますか?
はい。対象の事業体(またはビジネスアソシエイト)がCSPとビジネスアソシエイト契約(BAA)を締結し、それ以外の場合はHIPAAルールの該当する要件に準拠している場合に限ります。ただし、HIPAA規則には、CSPまたは米国外のその他のビジネスアソシエイトによって処理または保存された電子保護健康情報(ePHI)の保護に固有の要件は含まれていませんが、OCRは、そのようなePHIに対するリスクは、その地理的位置に。特に、ePHIのストレージまたはその他のサービスを海外にアウトソーシングすると、情報に対するリスクと脆弱性が高まる可能性があり、データのプライバシーとセキュリティ保護の実施可能性に関して特別な考慮事項が提示される場合があります。対象となるエンティティ(およびCSPを含むビジネスアソシエイト)は、セキュリティルールで必要とされるリスク分析とリスク管理を行う際に、これらのリスクを考慮に入れる必要があります。 45 CFR§§164.308(a)(1)(ii)(A)および(a)(1)(ii)(B)を参照してください。たとえば、ePHIがハッキングまたはその他のマルウェア攻撃の試みの増加が文書化されている国で維持されている場合、そのようなリスクを考慮し、エンティティはそのような脅威に対処するために合理的かつ適切な技術的保護手段を実装する必要があります。 [ ソース ]