米国の医療保険の相互運用性と説明責任に関する法律（HIPAA：Health Insurance Portability and Accountability Act）では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報（PHI：Protected Health Information、保護対象医療情報）を適切に管理、保護する必要があります。また、HIPAAでは、個人（顧客）が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho Analyticsには、HIPAAの適用対象となる医療サービスを提供する組織のユーザー向けに、医療情報を適切に管理するための機能が用意されています。

HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約（BAA）を締結するように定められています。そのため、Zoho Analyticsを利用して個人を特定可能な医療情報（PHI／保護対象医療情報）を管理するには、Zohoと業務提携契約（BAA）を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください。

 Zoho AnalyticsのHIPAA関連機能 

このページでは、顧客の医療情報を保護し、HIPAAに準拠するための機能について説明します。これらの機能を利用できるのは、スタンダードプラン以上のプランを利用中のユーザーです。

• 保護対象医療情報の管理
• 暗号化によるデータの保護
• プライバシーの保護とセキュリティ
• データの取得
• アカウントへのアクセス制限
• 操作履歴の管理

保護対象医療情報の管理

Zoho Analyticsに保存されているデータのうち、医療情報に関する項目を保護対象医療情報として管理することができます。

保護対象医療情報として保護するには、対象の列の見出し（ヘッダー）を右クリックして選択し、メニューから［個人情報として設定する］を選択します。Zohoサービスのサーバーに保存される際に、対象の列のデータが暗号化されます。保護対象医療情報を含むレポートやダッシュボードをエクスポートする際には、該当の列はエクスポートの対象から除外されます。

  暗号化によるデータの保護  

Zoho Analyticsでは、セキュリティ強化の一環として個人情報をサーバーに保存する際に個人情報が暗号化されます。データの暗号化は、さまざまな段階で行われます。

• 個人情報として設定されている項目はすべて暗号化され、Zohoのサーバーに保存されます。
• 外部サービスのアプリケーションの認証用に入力された非公開情報はすべて自動で識別され、暗号化された後にZohoのデータベースに保存されます。
  

プライバシーの保護とセキュリティ  

Zoho Analyticsには、データを安全に保護するための機能が用意されています。

• エクスポートするファイルのパスワード保護：データをエクスポートする際にパスワードを設定し、ファイルのデータを保護できます。エクスポートしたファイルへの不正アクセスを防ぐのに役立ちます。
  
  
• レポートやダッシュボードの埋め込み／専用リンクの作成時におけるパスワード保護：レポートやダッシュボードをWebページに埋め込んだ際や、専用リンク（URL）を作成した際に、ログインせずに閲覧可能なレポートやダッシュボードをパスワードで保護することができます。  
  
• レポートやダッシュボードの埋め込み／専用リンクの作成時における閲覧期限の設定：ログインせずに閲覧可能なレポートやダッシュボードに関して、閲覧期限を設定できます。指定した期限を過ぎると、対象のレポートやダッシュボードにアクセスできなくなります。
  
  

データの取得  

必要に応じて、いつでも保護対象医療情報を取得できます。  Zoho Analyticsでのデータの取得方法は、以下のとおりです。

• データのバックアップ - テーブルやクエリーテーブルのSQLクエリーからデータのバックアップを取得し、ダウンロードできます。バックアップデータは、いつでもCSV形式のファイルでダウンロード可能です。この機能に関する詳細については、こちらをご参照ください。
  
• データのエクスポート - 一般的なファイル形式でデータをいつでもエクスポートできます。CSV、Excel、HTML、PDF形式のファイルや画像ファイルに対応しています。データをエクスポートする際には、ファイルをパスワードで保護することも可能です。データのエクスポートに関する詳細については、こちらをご参照ください。
  
• すべてのデータの一括ダウンロード - Zoho Analyticsに保存されているすべてのデータを一括でダウンロードすることができます。現在、この機能はZoho Analyticsの操作画面から行うことはできません。この機能を利用してすべてのデータの一括ダウンロードを希望する場合は、support@zohoanalytics.comにお問い合わせください。確認後、担当者が対応します。
  

アカウントへのアクセス制限

Zoho Analyticsには、セキュリティを強化するためのさまざまな設定が用意されています。IPアドレスによる制限を適用したり、ユーザーに対する権限を詳細に設定したりすることができます。許可したユーザーのみがデータにアクセスできるように管理することが可能です。

• IPアドレスによる制限：レポートやダッシュボードに対するアクセスを制限できます。指定したIPアドレスの範囲からのアクセスのみを許可します。
  
  
  
  
• ドメインによる共有制限：許可するドメインのメールアドレスを持つユーザーに対してのみレポートやダッシュボードの共有を許可できます。
• 埋め込み用コード／専用リンク（URL）の作成制限：公開／限定公開のレポートやダッシュボードに関して、埋め込み用コードや専用リンク（URL）の作成を制限できます。 
• ドメインによる公開制限：許可するドメインのメールアドレスを持つユーザーに対してのみ、公開／限定公開中のレポートやダッシュボードへのアクセスを許可できます。
• レポートやダッシュボードのエクスポート／メール送信の制限：レポートやダッシュボードのエクスポート／メール送信を制限できます。また、許可するドメインのメールアドレスを持つユーザーに対してのみ、レポートやダッシュボードのメール送信を許可することも可能です。
  
  
  

操作履歴の管理 

Zoho Analytics内でのユーザーによるアクセスや操作に関する履歴を確認できます。これにより、データにアクセスしたユーザーやデータを操作したユーザーを把握することが可能です。

• アクセス履歴：データへのアクセス履歴を確認できます。
• 操作履歴：ユーザーによる操作履歴を確認できます。
  
  
  

ワークスペースに関する操作履歴の保存期間は1年間です。また、操作履歴をエクスポートすることもできます。

Zohoのコンプライアンス認証状況とプライバシーポリシー   

Zohoのコンプライアンスの認証状況やプライバシーポリシーに関する詳細については、以下のページをご参照ください。

• Zohoのコンプライアンス認証状況
• プライバシーポリシー