BiginによるHIPAAコンプライアンス

BiginによるHIPAAコンプライアンス

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

健康保険携行性及び責任法(プライバシールール、セキュリティールール、違反通知ルール、経済的および臨床的健康情報技術法を含む)(以下、「HIPAA」といいます)では、個人を特定できる健康情報を保護するため、カバードエンティティおよびビジネスアソシエイトに対して特定の対策を講じることが求められます。また、個人に特定の権利も与えられています。Zohoは、HIPAAによって保護された健康情報を自社の目的のために収集、使用、保存、維持しません。ただし、Bigin by Zoho CRMは、HIPAAの準拠方法でBigin by Zoho CRMを使用するための特定の機能(以下で説明)を提供しています。
 
HIPAAでは、カバードエンティティはビジネスアソシエイトとのビジネスアソシエイト契約(BAA)に署名する必要があります。弊社のBAAテンプレートを入手するには、legal@zohocorp.com宛にメールでリクエストしてください。

BiginにおけるHIPAAコンプライアンス

BiginのContactsモジュールにはHIPAAコンプライアンスが適用されます。
ヘルスケア機関が共有データベースに顧客情報を保存するためにBiginを使用し始める際には、個人の健康情報の機密性を確保することが重要です。
Biginでは、医療機関が個人の健康情報のエクスポートを保護し制限し、HIPAAに準拠する方法を提供しています。
Biginの管理者は、以下の手順を実行することで上記のことを達成することができます:

1. PHI(個人の健康情報)を含むフィールドのマーキング
連絡先モジュールでは、顧客の個人の健康情報を含むフィールドはほんの一部です。例えば、手術の経歴、症状、薬の詳細などです。これらのフィールドをPHIとしてマーキングすることで、システムはこれらのフィールドをAPIを介して特定し、アクセスを制限し、これらのフィールドの値のエクスポートを防止することができます。合計で30個のフィールドをPHIフィールドとしてマークすることができます。
注意:参照フィールドと自動番号フィールドはPHIとしてマークできません。
2. PHIとしてマークされたデータの制限設定
Biginの外部からPHIにアクセスできないようにするために、4つのオプションがあります。組織の要件に応じて、これらのオプションのいずれかを有効にすることができます。
  1. APIを介したデータアクセスの制限
    他のアプリケーションはAPIを使用してBiginに接続し、データを転送できます。ただし、API経由で個人の健康データを他のアプリケーションに制限することで、お客様のPHI(個人保護情報)が共有されないようにすることができます。
  2. データのエクスポートの制限
    Biginアカウントからデータをエクスポートする際、このオプションを有効にすることでPHIのエクスポートを制限することができます。
  3. Zohoサービスへのデータ転送の制限
    BiginアカウントがDesk、Campaigns、Booksなどの他のZohoアプリケーションと統合されている場合、データはBiginからこれらのアプリケーションに流れます。このオプションにより、PHIが他のアプリに転送されるのを防ぐことができます。 
  4. 第三者サービスへのデータ転送の制限
    Biginアカウントが第三者アプリケーションと統合されている場合、Biginと第三者サービス間でレコードが同期される際にデータが流れます。このオプションにより、PHIが他のアプリに転送されるのを防ぐことができます。
3. PHIフィールドの暗号化
PHIとしてマークされたフィールドは、追加のセキュリティのために暗号化することができます。Biginではフィールドの暗号化は必須ではありませんが、不正アクセスを防ぐために暗号化を有効にすることを強くお勧めします。 
詳細については、Zoho暗号化ホワイトペーパーを参照して、暗号化プロセスとキー管理を理解してください。

HIPAAコンプライアンスの設定方法

  1. [設定]→[ユーザーとコントロール]→[コンプライアンス]に移動します。
  2. [HIPAAコンプライアンス]タブをクリックします。.
  3. [HIPAAコンプライアンス]ボタンを有効にします。
  4. [個人保健データの取り扱い]セクションで、必要に応じて以下のオプションを切り替えます:
    1. APIを介したデータアクセスの制限
    2. エクスポート時のデータ制限
    3. Zohoサービスへのデータ転送の制限
    4. サードパーティサービスへのデータ転送の制限。

個人の健康データを含むフィールドをマークするには

  1. [設定]→[フィールド]に移動します。
  2. [連絡先]モジュールで、対象のフィールドに移動し、[編集]アイコンをクリックします。
  3. [個人の健康データを含む]ボックスをチェックします。
    なお、このオプションは、BiginアカウントでHIPAAコンプライアンスが有効になっている場合にのみ表示されます。

HIPAAコンプライアンスの無効化  

HIPAAコンプライアンスが無効になると、PHIとしてマークされていたフィールドはマークが解除されます。管理者は、HIPAAコンプライアンスを再度有効にする際に、フィールドに再度マークを付けることができます。 

レコードの個人データの表示

PHIを含むとマークされたすべてのフィールドは、レコード詳細ページにリストされます。個人情報のセクションであるデータプライバシーの下にあるヘルスタブをクリックすると、PHIを含むフィールドを表示することができます。

 
ここに表示されている内容は法的助言として解釈しないでください。HIPAAが組織に与える影響や、HIPAAに準拠するために必要な手続きについては、法的アドバイザーにご相談ください。