Amazon EC2にインスタンスがあり、HIPAAに準拠する必要があります。 2つの質問があります。
言及された論文は、実質的なものよりもマーケティングメッセージです。
私はHIPAAの専門家ではありませんが、機密(患者)データに関する英国の要件と非常によく似ています。理想的には、たとえば永続的なストレージデバイス上にある場合など、常に「保存中」のデータの暗号化を試みます。ただし、これは必ずしも簡単ではなく、うまく実行するには非常に注意深い実行が必要です。たとえば、キーが脆弱なメモリにある場合、ドライブを暗号化しても意味がありません。
英国では、政府のデータは感度レベルに従って分類され、次にビジネス影響レベルの標準セット(略してIL)に対してリスクが評価されます。たとえば、患者データはOFFICIAL-SENSITIVEとして分類され、IL3が推奨されます。 IL3は安静時の暗号化を推奨しますが、データセンターとアクセス権を持つスタッフが適切に認定され、セキュリティがクリアされている場合、これは必須ではありません。
あなたの場合、AWSを使用するということは、データセンターに関する主張を維持するためにAmazonに依存する必要があることを意味します。英国市場では、MicrosoftはAzureプラットフォーム(EU内)をIL2に認定しており、公式分類(ほとんどの政府文書)に適しています。共有プラットフォームでより高いレベルの分類を取得するには、法外な費用がかかります。ただし、事実上プライベートクラウドですが、より高いレベルの認定システムがあります。
だからあなたの直接の質問に答えるために(拡張された背景について申し訳ありません):
機密データをオープンクラウドプラットフォームに配置することには、問題とリスクが伴います。サービスの各部分で適切なリスク分析を行い、リスクと、リスクが認識された場合の影響を文書化する必要があります。次に、それを追加のセキュリティのコストと比較検討します。これが患者データである場合は、患者への影響も考慮する必要があります。これは、企業経済の単純な問題ではありません(すべきではありません)。
ここには絶対的な正解も不正解もありません。