EFS existe há muito tempo, é verdade. Mas ainda é tão relevante quanto sempre, e satisfaz as diretrizes da HIPAA para criptografar dados em repouso.
Além disso, você não menciona o SQL, mas para qualquer outra pessoa que se deparar com essa questão, consulte também o TDE (criptografia de dados transparente) para criptografar dados do SQL Server de maneira satisfatória para o auditor.