セキュリティ、プライバシー、コンプライアンスに関する最新情報: お客様およびパートナー様による Windows Azure 利用時の HIPAA Business Associate Agreement (BAA) の締結が可能に

このポストは、7 月 26 日に投稿された Security, Privacy & Compliance Update: Microsoft Offers Customers and Partners a HIPAA Business Associate Agreement (BAA) for Windows Azure の翻訳です。

マイクロソフトは先月､Windows Azure の主要サービスに関する SSAE 16/ISAE 3402 対応監査報告書を公開しました｡この公開に関しては､以前よりマイクロソフトのお客様やパートナーの皆様から多数依頼が寄せられ､公開以降､多くの方々に入手いただいています｡しかしながら、医療関係のお客様が最も気にされているのは、Windows Azure でクラウドを存分に活用するために欠かせない､HIPAA および HITECH Act のコンプライアンスに関することではないでしょうか｡

このたび､マイクロソフトの EA (Enterprise Agreement ボリューム ライセンス) をご契約のお客様とパートナーの皆様に対し､Windows Azure の主要サービスをご利用の際に重要な HIPAA および HITECH Act による物理的、技術的、管理的な保護を提供する HIPAA BAA の締結が可能になりました｡医療関係のお客様にとって最も重要なコンプライアンス関連の情報をお届けすることができ､大変嬉しい限りです｡

HIPAA と HITECH Act は米国の法令であり、ほとんどの医療所、病院、医療保険会社、そして患者情報 (保護対象の医療情報: PHI) を閲覧可能な医療関連企業に適用されています。被保険医療機関が Windows Azure のようなサービスを使用する際、そのサービスを提供する側は､多くの場合､HIPAA および HITECH Act で規定された特定のセキュリティ/プライバシー条項に従うことを書面にて同意する必要があります。

マイクロソフトは 7 月 24 日に Windows Azure Trust Center (英語) を更新し、HIPAA BAA をご利用いただけるようにしました。HIPAA BAA の対象には Windows Azure のデータ漏えい監視機能と通知機能が含まれ、以下の主要サービスがプラットフォーム レベルで監査されます。

• クラウド サービス (Web ロール､ワーカー ロール)
• ストレージ (テーブル、BLOB、キュー)
• 仮想マシン (サービスとしてのインフラストラクチャ: IaaS)
• ネットワーク (Windows Azure Connect、トラフィック マネージャー、仮想ネットワーク)

クラウド コンピューティングを使用すれば、医療関係のお客様は､ビッグ データ技術の活用、ストレージ容量の拡大、新しいソリューションの開発/テストの迅速化などをすばやく低コストで実現できます。Windows Azure で BAA の締結が可能になったことで、被保険機関では今後 Windows Azure の主要サービスを純粋なパブリック クラウド プラットフォームで活用できるようになるほか､ハイブリッド クラウドの構成においては､パブリック クラウドを利用して既存のオンプレミス資産を拡張することができます。

マイクロソフトは 2012 年前期に、Microsoft Office 365 および Dynamics CRM Online 向けの BAA を発表しました。その BAA が Windows Azure の主要サービスにも適用されるようになったことは大きな成果です。今回の BAA の適用は､被保険機関のコンプライアンス要件をカバーするあらゆるタイプのクラウド ソリューション (パブリック､プライベート､ハイブリット) を医療 IT 市場に投入し､かつてないメリットをもたらしています｡マイクロソフトのお客様であれば､生産性、コラボレーション、アプリケーション ホスティング、データ ストレージ、リレーションシップ マネジメントといった要件ごとに複数のクラウド ベンダーに連絡する必要はなく、1 つのクラウド､1 つのインフラストラクチャ パートナー､共通のセキュリティ/プライバシー フレームワークに統合し､被保険医療機関固有のニーズに対応できます。

被保険医療機関では今後、パブリック、プライベート、ハイブリッドの中から各自の要件に合ったクラウド ソリューションを選択し、データセンターの移行や拡張を安全に実行できます。また､コストの削減、運用の効率化、関連機関との提携もすばやく実現できます。Windows Azure はお客様のプライバシーおよびセキュリティに関するコンプライアンスを提供しますが、お客様には HIPAA、HITECH Act、その他の各種法令および規制に従い Windows Azure をご利用いただきますようお願いいたします。

医療機関のお客様は､クラウド サービスをさまざまな方法で活用して IT コストを劇的に削減し､生産性を大幅に向上させています｡詳細については、Microsoft in Health のブログ (英語) をご覧ください。