Hipaa準拠サーバー

言及された論文は、実質的なものよりもマーケティングメッセージです。

私はHIPAAの専門家ではありませんが、機密（患者）データに関する英国の要件と非常によく似ています。理想的には、たとえば永続的なストレージデバイス上にある場合など、常に「保存中」のデータの暗号化を試みます。ただし、これは必ずしも簡単ではなく、うまく実行するには非常に注意深い実行が必要です。たとえば、キーが脆弱なメモリにある場合、ドライブを暗号化しても意味がありません。

英国では、政府のデータは感度レベルに従って分類され、次にビジネス影響レベルの標準セット（略してIL）に対してリスクが評価されます。たとえば、患者データはOFFICIAL-SENSITIVEとして分類され、IL3が推奨されます。 IL3は安静時の暗号化を推奨しますが、データセンターとアクセス権を持つスタッフが適切に認定され、セキュリティがクリアされている場合、これは必須ではありません。

あなたの場合、AWSを使用するということは、データセンターに関する主張を維持するためにAmazonに依存する必要があることを意味します。英国市場では、MicrosoftはAzureプラットフォーム（EU内）をIL2に認定しており、公式分類（ほとんどの政府文書）に適しています。共有プラットフォームでより高いレベルの分類を取得するには、法外な費用がかかります。ただし、事実上プライベートクラウドですが、より高いレベルの認定システムがあります。

だからあなたの直接の質問に答えるために（拡張された背景について申し訳ありません）：

1. 理想的には、それはあなたに高いレベルの保証を与え、リスクを減らします（正しく行われた場合）
2. 可能であれば、主要な資産は最適に暗号化されます。再びあなたがそれを正しく行うと仮定します。データの使い方によっては、それができない場合があります。ただし、同じデータに対して両方を実行することはおそらく賢明ではありません。

機密データをオープンクラウドプラットフォームに配置することには、問題とリスクが伴います。サービスの各部分で適切なリスク分析を行い、リスクと、リスクが認識された場合の影響を文書化する必要があります。次に、それを追加のセキュリティのコストと比較検討します。これが患者データである場合は、患者への影響も考慮する必要があります。これは、企業経済の単純な問題ではありません（すべきではありません）。

ここには絶対的な正解も不正解もありません。