HIPAA Compliance

• 患者データを保存または送信するヘルスケアSaaS製品、EHR/EMR統合、またはその他のシステムを構築している
• すぐに使えるHIPAA適格なAWSインフラ（Terraform）テンプレートが必要
• FHIRまたはHL7 APIを実装しており、OAuth 2.0スコープの適用および監査ログのパターンが必要
• 対象エンティティとの初回パイロットに向けて準備中であり、BAA、リスク分析、およびペネトレーションテストの要件をカバーするローンチ準備チェックリストが必要

• あなたのアプリケーションが患者データを一切扱わず、対象エンティティやビジネスアソシエイトとの関係もない場合
• 法的アドバイスや正式なHIPAAの証明が必要な場合 — このスキルは技術的なガイダンスを提供するものであり、法律上の助言ではありません
• AWS以外のクラウド環境で作業しており、AWSが提供する範囲を超えたプロバイダー固有のインフラテンプレートが必要な場合

18種類すべてのHIPAA PHI識別子を自動的に適用し、健康データが任意の識別子と組み合わさった際に規制対象となるタイミングをフラグで示します。氏名、社会保障番号（SSN）、IPアドレス、日付、デバイスID、その他多数に対応しています。

HIPAA Compliance対象のVPCアーキテクチャ、KMSキーポリシー、暗号化されたRDSインスタンス、およびパブリックアクセスのブロックとバージョニングを有効にしたS3バケット設定のTerraformコードを提供します。

ユーザー、アクション、リソースタイプ、リソースIDを記録するPython監査ログパターンを生成します。ログエントリにPHI（個人健康情報）の値を含めることはありません。エラーメッセージのサニタイズユーティリティも含まれています。

データ取得前にAPIレイヤーでPythonデコレーターを使用して、役割ベースのPHIアクセスマトリックス（主治医、請求担当スタッフ、IT管理者、研究者）を実装し、HIPAA Compliance の要件に従って適用します。

決定論的トークン化を使用して参照整合性を維持しながら、18種類すべてのPHI識別子を抑制することで、開発環境およびテスト環境向けの匿名化ユーティリティを生成します。

AWSサービスおよびサードパーティベンダー（Auth0、Datadog、Sentry、SendGridなど）に必要なビジネスアソシエイト契約（BAA）を追跡し、最初のカバードエンティティとのパイロット導入を目指すファウンダー向けに、段階的なローンチゲートを提供します。

患者スケジューリングまたは遠隔医療プラットフォームを構築するファウンダーが、アプリケーションコードを1行も書く前に、完全なAWSアーキテクチャ図、Terraformベースライン、およびBAAチェックリストを取得できます。

FHIR R4 の Patient エンドポイントを実装するバックエンドエンジニアが、OAuth 2.0 スコープの強制、レート制限の設定、必要最小限のフィールドフィルタリング、および監査ログを FastAPI のサンプルコードで組み合わせて実現する方法を紹介します。

開発者が患者データのパスに関わるプルリクエストを提出し、HIPAA Compliance のコードレビューチェックリストを使用して、ログ、エラーメッセージ、URLパラメータ、S3キー、または環境変数にPHIが含まれていないことを確認します。

エンジニアリングチームは、実際の患者記録を使用せずにリアルなテストデータを必要としています。このスキルは、すべての識別子を置換しながら外部キーの関係を維持するSafe Harbor非識別化パイプラインを生成します。